Entrerà ufficialmente in vigore il 25 maggio 2018 ma molte aziende sembrano non essere ancora pronte secondo i dati che emergono dall’ultima ricerca di Trend Micro. Si parla ovviamente del “General Data Protection Regulation” (GDPR) ossia di quel regolamento sulla protezione dei dati con cui la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini dell’Unione Europea e dei residenti nell’Unione Europea, sia all’interno che all’esterno dei confini dell’UE. Il testo, che affronta anche il tema dell’esportazione di dati personali al di fuori dell’Unione Europea e obbliga tutti i Titolari del trattamento dei dati (anche con sede legale fuori dall’UE) che trattano dati di residenti nell’unione europea ad osservare ed adempiere agli obblighi previsti, non sarebbe infatti ancora entrato con adeguata serietà nell’ottica di manager e responsabili aziendali secondo i dati della ricerca appena citata. Quasi tutti sono consapevoli di doversi adeguare al nuovo regolamento, una percentuale molto più bassa è però quella che sa già come fare: il 64% del campione ad esempio, non è a conoscenza che la data di nascita di un cliente è classificata come dato personale; il 42% non classificherebbe i database di e-mail come dati sensibili, il 32% non lo farebbe con gli indirizzi di domicilio e il 21% con l’indirizzo e-mail personale. Risultati che indicano quindi quanto le aziende in realtà non siano così preparate o al sicuro come credono di essere, ponendosi così a rischio sia di hacker sia di eventuali sanzioni. L’evoluzione tecnologica e normativa richiede quindi un profondo ripensamento non solo dell’assetto tecnologico ed organizzativo delle aziende e pubbliche amministrazioni, ma anche una riflessione più ampia sull’attuale modello di business dell’Information Security e dell’ICT in generale con conseguentemente notevoli cambiamenti sia per le imprese e sia per gli enti amministrativi.
La confusione legata al GDPR dipende sicuramente anche dalla sua struttura complessa, stratificata e spesso priva di indicazioni concrete per le aziende che rende quindi difficile approcciarsi in maniera autonoma alla nuova disciplina. Tentando di semplificare il tutto, il nuovo regolamento introduce un approccio innovativo basato sulla responsabilizzazione del titolare del trattamento (si parla, infatti, di accountability e privacy “dimostrabile”, in quanto l’onere della prova della conformità del trattamento grava sui titolari) e sul concetto di privacy by design. Pertanto, dalla lettura del GDPR e delle linee guida, per una maggiore ed efficace tutela, emerge la necessità di analizzare il ruolo reale delle componenti aziendali e adeguarle nell’ottica del nuovo quadro normativo, individuando e predisponendo autonomamente le modalità (incluse garanzie e limiti) più idonee per garantire il rispetto della normativa, attraverso un’analisi preventiva e specifica di tutti i trattamenti di dati effettuati. Compito dei titolari diventa ora quello di predisporre delle misure di sicurezza adeguate al rischio che il trattamento effettuato crea per i diritti e le libertà delle persone e disporre delle procedure idonee a rilevare e documentare in modo specifico e completo ogni eventuale violazione dei dati personali che si verificherà, informandone prontamente gli interessati e fornendo tutta la relativa documentazione al Garante, per l’accertamento di eventuali responsabilità.
Tra le nuove procedure introdotte dal GDPR troviamo, obbligatoria solo in alcuni casi, la predisposizione di un registro delle attività di trattamento, utile per fare il punto sui dati trattati ed individuare eventuali trattamenti che comportino rischi per i diritti e le libertà personali (oltre che verificare costantemente il rispetto della normativa vigente). Altro strumento introdotto, anch’esso non obbligatorio, è il “Data protection impact assessment” utile per organizzare le varie attività e stabilire a priori quando un trattamento può essere rischioso (il cosiddetto “privacy by design”). Tutte le procedure quindi saranno sottoposte a rivisitazioni, controlli e modifiche per dare concreta e rapida attuazione di diritti degli interessati.
Nella nuova ottica legata alla “privacy” (disciplinata dall’art.15) viene sancito che l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, se è in corso tale trattamento, l’accesso ai dati ed eventualmente sapere quali e perché questi dati vengano raccolti, con la possibilità inoltre di richiedere la cancellazione degli stessi anche attraverso un reclamo all’autorità di controllo. Un mese è il termine massimo in cui il titolare del trattamento deve poi fornire all’interessato le informazioni relative all’azione intrapresa riguardo ad una richiesta di accesso (ai sensi degli articoli da 15 a 20), termine che può essere prorogato per un massimo di altri due mesi, se necessario, tenendo conto della complessità della richiesta e del numero di richieste. Dati che non siano più necessari per le finalità per i quali sono stati raccolti o altrimenti trattati, o nel caso si abbia successivamente ritirato il consenso agli stessi (specie se l’interessato ha dato il consenso quando era minore e quindi non pienamente consapevole dei rischi derivanti dal trattamento) possono rientrare nel cosiddetto “diritto alla cancellazione ed all’oblio”, salvo i casi in cui l’ulteriore conservazione sia necessaria per particolari casi come, per esempio, quella di esercitare il diritto alla libertà di espressione e di informazione o di adempiere ad un obbligo legale. Inoltre qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Sarebbe poi opportuno, a mio avviso, che tale diritto si estendesse in maniera tale da obbligare l’eventuale titolare del trattamento che ha pubblicato dati personali a informare i responsabili del trattamento che stanno trattando tali dati affinché cancellino qualsiasi link verso tali dati personali o copia o riproduzione di detti dati al fine di ristabilire la libertà e dignità personale dell’interessato. In senso positivo, il Regolamento si impone quindi di voler riaffermare la libertà e la dignità della persona, limitando il potere informatico attraverso il controllo di mezzi e fini, fornendo inoltre una disciplina attuale ed uniforme in grado di superare le discrepanze, fino ad oggi esistenti, tra gli Stati membri in tema di protezione dei dati personali.