GDPR

Tema dell’articolo del giorno il General Data Protection Regulation, altrimenti noto come GDPR. Il GDPR è il Regolamento Europeo per il trattamento dei dati personali: vediamo insieme cosa contiene e quali sono le sue implicazioni per le imprese.

Il Regolamento Europeo 2016/679, meglio conosciuto come GDPR è un insieme di norme in materia di trattamento dei dati personali attivo dal 25 Maggio 2018. Ad oggi però molte aziende, private e pubbliche, non sono ancora pienamente coscienti delle sue implicazioni, soprattutto per quel che riguarda i fini pratici della sua applicazione, non solo a livello giuridico ma soprattutto in un’ottica pratica ed organizzativa.

Cercheremo quindi di fare maggiore chiarezza, ponendoci come obiettivo quello di fornire una guida pratica, semplice e comprensibile anche per i non addetti ai lavori.

Che cos’è il GDPR?

Il Regolamento UE 2016/679 per la Protezione dei Dati, altrimenti noto come General Data Protection Regulation o GDPR è un testo normativo, promulgato dalla Commissione Europea, il cui obiettivo è regolare e tutelare il trattamento dei dati personali degli utenti.

Il GDPR è un regolamento europeo che, a differenza di una Direttiva, deve essere applicato esattamente così com’è da tutti i paesi membri aderenti alla UE. L’obiettivo del Regolamento è quello di rafforzare i diritti delle persone fisiche residenti nella UE in merito al trattamento dei dati personali.

E’ importante sottolineare che la tutela dei dati personali è rivolta alle persone fisiche, in quanto il Gdpr non si applica a dati relativi a persone giuridiche (come aziende o enti pubblici), anche se saranno proprio queste ultime i soggetti preposti a proteggere i dati e a dover quindi applicare il GDPR nelle proprie organizzazioni.

I vantaggi del Regolamento UE 2016/679:

  • norme uniche per tutta l’Unione Europea;
  • condizione di parità per tutte le imprese operanti nell’Unione;
  • applicabilità della norma anche sul Web;
  • norme “adattabili” ai futuri cambiamenti tecnologici.

La Legge Italiana sulla Privacy (DLgs 196/2003) è stata cancellata?

La Legge italiana sulla Privacy, risalente al 2003, non è stata abrogata ma adeguata ai dettami del GDPR tramite il Decreto Legislativo 101/2018. Ne consegue quindi che le imprese, per ottemperare agli obblighi, devono tenere conto di entrambe le normative.

Le aziende che avevano già adottato a suo tempo le misure previste dal Dlgs 196 come, ad esempio il Documento Programmatico della Sicurezza (DPS, poi abolito dal 2013), sono state avvantaggiate, in quanto già strutturate per recepire questo genere di obblighi.

Cosa cambia con il GDPR rispetto alle precedenti normative Privacy?

Principio di Accountability

La vera rivoluzione introdotta dal GDPR è il superamento del concetto di “misure minime” su cui si basava il DLgs 196/2003, che viene sostituito con il concetto di “misure adeguate”, introducendo il principio di responsabilità (Accountability).

Spetta ora al Titolare del Trattamento stabilire cosa serve fare e come per essere conforme al Regolamento e deve inoltre essere in grado dimostrarlo. Tutto ciò richiede attività strutturate che andranno ad agire su più aree di intervento, coinvolgendo processi gestionali ed organizzativi, risorse umane e tecnologiche, in particolare le aree ICT, networking e web.

Obbligo di notifica per la violazione dei dati

Un’altra importante novità è l’obbligo di notifica in caso di violazione dei dati (Data Breach).

In caso di attacco hacker o di qualsiasi altro evento che provochi una perdita della riservatezza, dell’integrità o della disponibilità di dati personali, è obbligatorio denunciare l’accaduto all’ Autorità di Controllo (il Garante per la Privacy) e, nei casi più gravi anche ai diretti interessati, entro un limite massimo di 72 ore dalla scoperta della violazione.

Denunciare però non basta: se si vogliono limitare le sanzioni, è necessario infatti dimostrare che si è fatto tutto il possibile per limitare al minimo il danno derivante dalla violazione.

L’impianto sanzionatorio

Il GDPR porta con sé un profondo cambiamento del regime sanzionatorio, esponenzialmente inasprito i cui massimali sono stati incrementati:

- fino a 20 Milioni di €;
- fino al 4% del fatturato mondiale annuo.

A queste sanzioni amministrative si vanno poi ad aggiungere le eventuali implicazioni penali previste dalla legislazione del paese membro. In Italia le sanzioni sono state inasprite, raggiungendo fino ai 7 anni di reclusione nei casi più gravi, oltre alla possibilità di richiedere risarcimenti da parte degli interessati stessi.

Il Responsabile della Protezione (DPO)

Il GDPR prevede inoltre l’inserimento di un nuovo ruolo nell’organigramma aziendale: il Responsabile della Protezione Dati o DPO (Data Protection Officer). Il DPO è una nuova figura specialistica, che deve disporre di un’ampia preparazione trasversale, sia giuridica che tecnica.

Il Data Protection Officer viene nominato dal Titolare del Trattamento e il suo compito è quello di supportare e supervisionare l’applicazione delle procedure da parte del Titolare, nonché di interfacciarsi direttamente con l’Autorità di Controllo.

La designazione di un DPO è obbligatoria per tutti gli enti pubblici e per le aziende private, nei casi in cui venga effettuato un trattamento dei dati personali su larga scala oppure nei riguardi di dati sensibili e giudiziari. Anche se la nomina del DPO è in molti casi facoltativa, il Garante ne consiglia comunque l’adozione per agevolare l'introduzione e la corretta applicazione del Regolamento./p

Schermata 2022-03-25 alle 18.14.50

Le azioni chiave del GDPR

Come abbiamo detto, il GDPR si limita a fornire delle linee guida generiche: spetta infatti al Titolare del Trattamento di definire il percorso ideale di conformità in base alle caratteristiche dell’organizzazione, tenendo comunque sempre presente i tre prerequisiti basilari:

  • Applicare - Il raggiungimento della conformità attraverso l’adeguamento alle normative (Gdpr e Dlgs196/Dlgs101).
  • Dimostrare - La necessità di dimostrazione dell’adeguamento normativo, motivando le scelte che sono state fatte.
  • Manutenere - Il monitoraggio costante dei dati e del livello di protezione dei sistemi.

L’adeguamento alla normativa: i 5 passi fondamentali

1. Coinvolgimento e definizione degli obiettivi

Per assicurare la piena aderenza agli adempimenti normativi in materia di trattamento dei dati personali, è necessario coinvolgere tutte le funzioni aziendali interessate.

In questa fase è importante coinvolgere, oltre alla dirigenza, anche gli stakeholders e responsabili dei vari processi che includono, direttamente o indirettamente, trattamenti di dati personali, per porre loro le seguenti domande chiave:

  • Quali sono gli obiettivi di business a medio e lungo termine dell’azienda?
  • Quali dati servono per raggiungere questi obiettivi?

2. Mappatura dei dati

In questa fase è importante rilevare e documentare quali dati personali sono a disposizione dell’azienda, da dove provengono, da chi, dove e come vengono gestiti questi dati.

  • Che tipi di dati vengono raccolti?
  • Perchè vengono raccolti?
  • Dove vengono archiviati i dati?
  • Chi ha accesso a questi dati?
  • Per Qquanto tempo vengono conservati?
  • Vengono rispettati i Diritti Privacy delle persone?

3. Analizzare i rischi e colmare le lacune

L’analisi dei rischi (Risk Assessment) è un fase molto delicata del processo di compliance, in quanto necessita sia di competenze giuridiche che tecniche, in particolar modo di competenze informatiche.

Una volta che si sono mappati i dati, è necessario procedere con una valutazione del rischio, per determinare quale impatto privacy (PIA - Privacy Impact Assessment) potrebbe avere quel determinato trattamento dati per le persone fisiche.

Un valido aiuto per effettuare una corretta risk assessment sono sicuramente le Linee Guida ENISA ed EDPB, enti Europei preposti a fornire supporto e documentazione in merito alla protezione dati.

Una volta definiti i rischi bisogna individuare le lacune e cosa manca (Gap Analysis) sia a livello organizzativo che tecnico per ridurre al minimo i rischi causati da una violazione dei dati. Il consolidamento di questi sforzi avviene con la realizzazione di un Remediation Plan, un documento dove vengono indicate le misure necessarie e i tempi di attuazione per colmare i gap.

Non esiste una checklist valida per tutte le aziende, ciascuna deve effettuare una propria analisi dei rischi e mettere in campo una serie di attività atte a ridurre al minimo il rischio di una violazione.

4. Creare un piano d’azione

Una volta stabiliti obiettivi e priorità, definito lo scenario e deciso come agire in base all’analisi dei rischi, ai dati da trattare ed al rischio effettivo, è necessario capire che ognuna di queste azioni che dovremo eseguire confluirà in un progetto specifico, ognuno con un suo responsabile, risorse assegnate, competenze e scadenze.

Diventa quindi indispensabile redigere un Action plan con le azioni da eseguire, chi le dovrà eseguire in base a relativi ruoli e mansioni, in che modo e in che tempi, la documentazione da produrre, le comunicazioni interne ed esterne, gli interventi infrastrutturali, la formazione del personale e dei responsabili.

Compiute le dovute analisi, descritte e redatte in un piano azionabile, adesso è il momento di mettere in pratica quanto stabilito. A questo punto è molto importante che ruoli e responsabilità siano chiari e definiti, in modo da evitare incomprensioni.

Da questo momento, il ruolo di supervisione e coordinamento del Responsabile della Protezione Dati o DPO (Data Protection Officer) diventa centrale, in quanto incaricato di monitorare, attraverso una serie di procedure di Audit, l'assenza di violazioni nella gestione dei dati.

Considerazioni finali

La maggior parte delle aziende guarda oggi all’introduzione e applicazione del GDPR come a un adeguamento burocratico e poco più, a cui si è obbligati ad adempiere per non incorrere in sanzioni.

In realtà applicare i principi del Gdpr in azienda può generare diversi vantaggi, per primo una maggior sicurezza informatica in azienda. Migliorare i propri asset informatici applicando logiche di Business Continuity e Disaster Recovery, formare i dipendenti introducendo una cultura orientata alla Cybersicurezza può infatti ridurre il rischio di essere vittime di attacchi informatici o di ransomware.

Basti pensare ai costi per un’azienda, in termini di mancati profitti e perdita d’immagine, in caso di cancellazione di dati o di indisponibilità dei propri server. In definitiva, vedere il Gdpr come un’opportunità e non come una mero adempimento formativo può produrre una serie di effetti positivi per l’impresa, sull’infrastruttura e sulle sue risorse./p

Articoli correlati

sviluppo-single-page-application-milano.jpg
Le SPA o Single Page Application sono applicazioni web fruibili come singola pagina senza necessità di caricamento per pagine: scopriamone …
software-gestionale.jpg
Le soluzioni software gestionali SAEP ICT e SAEP Informatica nascono per soddisfare qualsiasi necessità di gestione aziendale.Sommano la trentennale esperienza …
pwa.png
Le PWA – Progressive Web Application sono applicazioni che impiegano le funzioni Web per offrire agli utenti esperienze simile rispetto …
consulenza-informatica-milano.jpg
La consulenza informatica, "IT Consulting" o "Business and Technology Consulting" è una forma di consulenza che consiste nella prestazione professionale, …
sviluppo-ecommerce-responsive-mobile-first-inde.jpg
Se sul finire di questo 2018 qualcuno ancora stesse sottovalutando l'importanza di ottimizzare contenuti e servizi per la navigazione da …
software-gestionale.jpg
Le Single Page Application non vanno di pari passo con la SEO? Ni. Si possono sviluppare buone applicazioni SPA strizzando …
sviluppo-app-android-ios-milano.jpg
Ecco alcune linee guida per aiutarti a trovare la giusta azienda di sviluppo app cui affidarti per trasformare la tua …
Quanto costa lavorare con una software house
Probabilmente ti sei chiesto quanto costa una collaborazione con un'agenzia di sviluppo software, la cosiddetta software house.La creazione di soluzioni …
significato-acronimo-ict.jpg
Ti sarà capitato di chiederti cosa significhi ICT, l'acronimo che identifica l'attività di molte aziende e software house che lavorano …
sviluppo-software-personalizzato.jpg
Il processo di sviluppo software è un'attività complessa che richiede un’attenta pianificazione, un costante controllo e una documentazione specifica e …
landing-page.jpg
Nel marketing digitale, una landing page è una pagina web autonoma, creata appositamente ai fini di una campagna pubblicitaria o …
sviluppo-in-python-milano.jpg
Se sei atterrato su questo articolo è perché probabilmente cerchi un team che possa supportarti nello sviluppo di software in …
dns_pubblico_di_google.jpg
Google Public DNS è un servizio gratuito offerto agli utenti Internet di tutto il mondo da Google. Il DNS Google …
Schermata.jpg
Cos’è il Materiale DesignIl Material Design è uno stile, un codice, un linguaggio di design sviluppato da Google supportato nativamente …
continuous-delivery-sviluppo-software.jpg
Continuous integration e continuous delivery: cosa sonoInnanzitutto definiamo il concetto di continuous integration o integrazione continua.Un esempio pratico?Quando sviluppiamo un …
sviluppo-python-django-milano.jpg
Ciao Matteo, innanzitutto raccontaci almeno un po’ di te: come sei arrivato in SAEP ICT e che tipo di percorso …
sicurezza-ecommerce-milano2.jpg
Misure di sicurezza per i sistemi eCommerce: cosa dice il DGPR EuropeoLe misure di sicurezza nell’ambito di sistemi di eCommerce …
app-per-offerte-commerciali.jpg
Offerte e preventivi: i parametri utili per snellire i processiCome ogni commerciale o agente di commercio sa, la creazione dell’offerta …
sviluppo-applicazioni-angular-milano.jpg
Caratteristiche principali di AngularAngular è un framework opensource dedicato allo sviluppo di applicazioni WEB e sviluppato principalmente da Google. Dire …
catalogo digitale.jpeg
Scegliere di sviluppare un catalogo digitale significa in prima battuta rinunciare.A cosa?Ai costi del cartaceo, innanzitutto: costi di stampa, costi …
sviluppo-software-linguaggio-python.jpg
Il linguaggio di programmazione Python è confermato da O'Reilly come uno degli argomenti più cercati ed utilizzati sulla propria piattaforma.Ricordiamo …
agile_1.jpg
Ogni progetto è caratterizzato in maniera univoca dai suoi vincoli. Secondo il concetto di triple constraint la natura sistemica dei …
SETTORE_COMMERCIO_E-COMMERCE.jpg
Nell’ultimo biennio ed in particolare nell’ultima importante fase di emergenza sanitaria, le esigenze dei clienti B2B hanno virato verso una …