Il 25 maggio 2018 è entrato in vigore, e quindi direttamente applicabile in tutti gli Stati membri, il Regolamento Europeo 2016/679, meglio conosciuto come GDPR : (General Data Protection Regulation) relativo alla protezione dei dati personali dei cittadini UE.
Il GDPR , introduce e rafforza alcuni importanti aspetti che riguardano la protezione dei dati personali ( la cosidetta “privacy” ), che fanno intuire come l’obiettivo con cui e’ stato elaborato il GDPR sia quello di responsabilizzare i titolari e i responsabili del trattamento dati; ovvero le aziende, enti pubblici e organizzazioni (associazioni, fondazioni, etc) in generale a cui i privati cittadini (si pensi ai dipendenti di una azienda, ai clienti di un sito di e-commerce o ai pazienti di un ospedale, etc. ) affidano i propri dati.
Ai titolari e responsabili del trattamento viene affidato il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, rispettando le disposizioni normative indicate nel Regolamento. Questa autonomia e’ tuttavia volta all’obiettivo (descritto sopra) di responsabilizzare l’azienda affinchè organizzi nel migliore dei modi il trattamento dei dati personali che le sono stati affidati, garantendo la sicurezza degli stessi di fronte a minacce informatiche e da errori (umani) nel trattamento che potrebbero causare rischi per gli interessati (cioè le persone a cui quei dati personali si riferiscono).
Una delle novità introdotte dal GDPR è la DPIA : una “Valutazione di impatto” per quanto riguarda la sicurezza nel trattamento di dati personali ( tra cui i dati particolari, ovvero quelli più sensibili ) che descrive il trattamento effettuato per valutarne i relativi rischi così da poter adottare misure idonee ( ovviamente in base alla normativa ) a gestirli.
Per quanto riguarda le informative, il GDPR impone una maggiore chiarezza ed una esplicita indicazione dei nuovi diritti degli interessati al trattamento, allo stesso tempo vengono stabiliti criteri rigorosi per il trattamento dati dei cittadini UE fuori dai confini europei ( si pensi ad un sito di e-commerce che tratta i dati fuori dall’UE oppure ad un’azienda che ha una delle proprie sedi fuori dall’Europa).
La tentazione di ridurre tutto alla semplice compilazione di qualche modulo , magari frettolosamente scaricato da Internet, per mettersi in regola con il GDPR dura poco. Sappiate pero’ che nei primi 4 mesi di applicazione del GDPR sono stati oltre 2500 i reclami e segnalazioni degli utenti ( a fronte di circa 1700 reclami del 2017 ), con oltre 300 segnalazioni di data breach, ovvero furti e/o perdite di dati personali. Davanti a questi dati (e alle sanzioni previste dalle violazioni del GDPR ) si può comprendere come il modo giusto di rendere conforme al GDPR la propria azienda sia quello di implementare realmente misure tecniche ed organizzative che possano garantire la sicurezza dei dati personali trattati.
Implementare il GDPR nella propria organizzazione (azienda, associazione, pubblica amministrazione, fondazione , etc) significa coinvolgere tutta l’azienda in un percorso che porta sicuramente a riorganizzare in modo efficiente il flusso dei dati nella propria azienda e a rendere più consapevoli i dipendenti, in merito alle proprie responsabilità nel trattamento delle informazioni. Non a caso uno degli obblighi previsti dal regolamento riguarda la formazione dei dipendenti autorizzati a trattare dati personali.
A breve saranno organizzati dalla CIA LAB incontri informativi sul tema.