Gli sviluppi tecnologici non smettono di porci nuove sfide e scenari. Proprio in risposta a questo, si inserisce la normativa europea GDPR (General Data Protection Regulation – Regolamento UE 2016/679), che entrerà ufficialmente in vigore il 25 maggio 2018, incentrata sul trattamento dei dati personali e sulla loro libera circolazione anche fuori dall’Ue.
Il regolamento si fonda su di un principio di uniformità, in modo da rendere la gestione dei dati più sicura ed omogenea per tutti i cittadini e i residenti dell’Unione Europea. In generale, tale principio si traduce in una maggiore chiarezza su informativa e consenso, in norme e sanzioni più rigide per i casi di violazione, ma anche in nuovi diritti.
Nello specifico, le applicazioni e i risvolti saranno diversi. Prendiamone in considerazione alcuni.
Accountability
Nell’ambito della sicurezza informatica, l’accountability è la capacità da parte di un sistema di identificare ogni singolo utente, le sue azioni ed il comportamento che tiene all’interno del sistema stesso. Questo concetto si lega a quello di responsabilità, secondo il presupposto per cui nel web – esattamente come nella vita reale – ogni individuo è responsabile delle proprie azioni.
Per questa ragione, nella maggior parte dei casi, si è sottoposti al classico login (nonchè un sistema di autenticazione che ci rende identificabili). A supportarlo, è l’audit delle tracce delle azioni interne al sistema, valutazione oggettiva del comportamento di ogni soggetto, essenziale per rilevare eventuali intrusioni, anche su eventi passati.
Ciò significa che, nel momento in cui l’utente ha accesso al database, il GDPR richiede che si attivi automaticamente la possibilità di tracciare ogni sua azione, di individuare i dati che scarica o immette e di ottenere le coordinate del suo accesso (in gergo tecnico, ”log degli accessi”). Per questa ragione, se c’è un intrusione di qualche natura, il sistema rileverà ogni movimento e salverà tutto nel log.
Informativa e Consenso
Come accennato, i requisiti per le informative rimangono, ma sono resi più trasparenti e, in parte, ampliati. Dovranno infatti includere il tempo di mantenimento dei dati personali, i contatti di chi li controlla e del funzionario preposto alla loro protezione.
Alcune delle aziende più grosse stanno cominciando preventivamente ad avvisare i propri utenti tramite e-mail dell’aggiornamento della loro informativa privacy. Nei prossimi tempi, agiranno analogamente tutte le organizzazioni che gestiscono dati personali degli utenti.
Secondo l’Art. 7, anche la richiesta della raccolta di dati andrà in direzione della chiarezza e, per questo, dovrà essere distinta da altre dichiarazioni e formulata con un linguaggio semplice e chiaro. A tale richiesta corrisponderà un valido consenso solamente se i check box alla voce “fornisco il mio consenso per la gestione dei dati personali” non saranno preselezionati automaticamente, ma manualmente da parte dell’utente stesso.
Particolare attenzione, inoltre, viene posta alla legittimità e coerenza della richiesta del consenso: i propositi per i quali sono usati i dati devono essere espliciti, legittimi, adeguati e pertinenti (Art. 5). Di conseguenza, il Regolamento UE 2016/679 stabilisce che non potranno essere richiesti dati che non siano strettamente attinenti o che esulino da una specifica finalità.
Sicurezza
Garantire la sicurezza dei dati raccolti è forse la principale premura di questa nuova normativa. Nello specifico, metterà in atto misure tecniche e organizzative idonee per assicurare un livello di sicurezza adeguato al rischio. A tal fine, l’Art. 32 specifica che il titolare e il responsabile del trattamento sono chiamati a garantire che chiunque abbia accesso ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito.
A garanzia dell’interessato, il GDPR regolamenta anche il caso di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale (Art. 44 e ss.) informandolo prontamente, qualora si presentasse una violazione fraudolenta dei dati che metta a rischio i suoi diritti o libertà (Art. 33).
DPO
Questo, forse, l’aspetto meno chiaro e più controverso dell’intero regolamento GDPR. Il DPO (Data Protection Officer) rappresenta sostanzialmente una figura preposta a funzioni che potremmo chiamare di “vigilanza”, ovvero per assicurare una corretta gestione dei dati personali e verificare l’osservanza interna del regolamento. Svolgerà inoltre anche un ruolo di consulenza e da super partes con l’Autorità Garante nazionale.
Scelto sulla base della conoscenza specialistica di normative e pratiche in materia di protezione dati, le sue competenze però dovranno estendersi anche ad una serie di qualità professionali e ad una buona conoscenza delle procedure dell’organizzazione amministrativa. Chi detiene l’incarico, difatti, sarà a tutti gli effetti una figura indipendente e di supervisione all’interno dell’azienda.
La figura potrà essere, tanto un dipendente del titolare o del responsabile del trattamento, quanto un libero professionista. Tuttavia, fondamentale è che non dia adito a possibili conflitti di interessi, e che quindi non si trovi in una posizione atta a determinare gli usi e le finalità del trattamento dei dati personali all’interno dell’impresa.
Il ruolo del DPO resta, per queste ragioni, ancora abbastanza confuso e complicato dal fatto che l’Autorità Garante non si sia ancora espressa sulla tipologia di contratto con cui verrà assunto e sulla certificazione a cui dovrebbe fare riferimento per svolgere la sua attività.
Violazione e Sanzioni
Focus di attenzione sul data breach è negli Art. 33 e 34 del GDPR che promuovono un approccio multidisciplinare e cooperativo a livello europeo sulla lotta alla violazione dei dati personali. Gli articoli sanciscono inoltre l’obbligo legale per il titolare del trattamento di rendere note le fughe di dati all’autorità nazionale entro e non oltre 72 ore da quando ne è venuto a conoscenza. Ogni intrusione andrà denunciata, in alcuni casi anche mettendo al corrente gli interessati le cui informazioni private sono state compromesse. I resoconti delle fughe di dati non saranno soggetti ad alcuno standard de minimis ma dovranno essere riferite all’autorità sovrintendente non appena se ne viene a conoscenza ed entro le 72 ore, pena dure sanzioni.
Fra le sanzioni, figurano le seguenti:
- ammonizione scritta, in casi di una prima mancata osservanza non intenzionale;
- accertamenti regolari e periodici sulla protezione dei dati;
- multa fino a 10 milioni di euro o fino al 2% del volume d’affari globale registrato nell’anno precedente (casi previsti dall’Art. 83, Par. 4);
- multa fino a 20 milioni di euro o fino al 4% del volume d’affari globale registrato nell’anno precedente (casi previsti dall’Art. 83, Par. 5 e 6).
Portabilità
Come recita l’Art. 18, il diritto di portabilità sancisce che tutti gli utenti devono essere in grado di poter trasferire i loro dati personali da un sistema di elaborazione elettronico ad un altro in qualsiasi momento, senza che il controllore dei dati possa impedirlo in alcun modo. Anzi, i dati dovranno essere forniti dal controllore in un formato strutturato e di uso comune.
Cancellazione, Limitazione, Rettifica
Ogni utente deve poter essere cancellato dal sistema quando lo desidera, come stabilisce l’Art. 17 del Regolamento UE 2016/679, secondo cui il soggetto dei dati ha il diritto di richiedere la cancellazione di dati personali relativi a sé sulla base di una serie di giurisdizioni. Queste possono comprendere anche la mancata osservanza di aspetti relativi alla legalità (Art. 6.1).
Il diritto di cancellazione, limitazione o rettifica del trattamento dei propri dati, deve poter essere esercitato con la stessa facilità ed immediatezza con cui ne è stato espresso il consenso. Il responsabile del trattamento dovrà comunicare all’interessato, dietro richiesta, i destinatari a cui ha trasmesso la sua richiesta di cancellazione (Art. 19) e avrà lo stesso onere anche in caso di sola richiesta di limitazione o di rettifica, presentata rispettivamente ai sensi dell’Art. 18 e dell’Art. 16.
Sicuramente il periodo di transizione, subito dopo l’entrata in vigore del GDPR, non sarà semplice. Molti sono gli interventi necessari per adeguarsi alla normativa, anche per le aziende come la nostra, che hanno sempre lavorato tenendo quale punto di riferimento massima trasparenza e sicurezza per i propri clienti.
Tuttavia, aspetto lodevole del processo è che si impegna sicuramente in direzione di una maggior serenità e protezione cibernetica a livello europeo. Molte delle organizzazioni che approfittano subdolamente delle maglie non così strette dell’attuale normativa, abusando e manipolando i dati personali degli utenti, con la nuova legislazione non rimarranno indenni. Quindi un costo sì, ma da interpretare come un grosso investimento sulla sicurezza e la qualità dei dati personali.
Gli esperti di Ars Digitalia si rendono disponibili a fornire soluzioni, sia tecniche che in forma di consulenza, per l’attuazione della nuova normativa GDPR a tutte le imprese interessate.