GDPR: privacy e compliance, oltre la data security

GDPR: privacy e compliance, oltre la data security

Parlare di GDPR significa focalizzarsi sugli aspetti normativi, ma anche su differenti attività pratiche e migliorie tecniche da mettere in atto per essere compliant.
La norma, varata il 27 aprile 2016, ha previsto un periodo di adeguamento di due anni e sarà attiva dal 25 maggio 2018. Trattandosi di una direttiva non richiede alcuna forma di legislazione applicativa da parte degli stati membri. Nonostante questo, le singole leggi nazionali vigenti rimarranno valide, saranno verosimilmente integrate.
Di General Data Protection Regulation se ne è parlato, forse, fin troppo. Spesso però si perdono di vista i capisaldi principali, le motivazioni di base, gli obblighi e le opportunità messe a disposizione delle imprese che operano in Ue.

Di fatto, il GDPR impone alle aziende requisiti e obblighi, molte realtà dovranno rivedere o modificare la gestione dei dati, con un’attenzione particolare sulla sicurezza del processo. Tuttavia, ridurre la norma solamente a “obblighi e doveri” potrebbe essere riduttivo. Come ripetono da tempo tutti gli esperti del settore, il GDPR non è soltanto un vincolo, ma può rappresentare una valida possibilità per introdurre in azienda strumenti e processi per una vera innovazione.

I numerosi appuntamenti per le imprese e gli esperti di settore hanno messo a fuoco le differenti sfaccettature della norma, diventando a tutti gli effetti un utile ripasso delle priorità e dei punti fermi imposti dal GDPR.
Sia a livello giuridico, sia a livello tecnologico, la normativa deve essere interpretata come un’opportunità di aggiornare meccanismi di lavoro e gestione del dato che ormai sono obsoleti. Seguendo quanto prescritto è infatti possibile ricostruire il percorso che i dati compiono all’interno dell’azienda, capire il ciclo di vita degli asset e valorizzare i dati stessi, abbattendo le attuali strutture a silos.

Di fatto, il GDPR introduce concetti generali e linee guida approvate dal gruppo dei garanti europei, senza che esse vadano a sostituire in toto la legislazione attuale.
Il pacchetto raccoglie dunque un sistema di norme non più limitate ai singoli stati, ma globali e va a protegge per primi i cittadini, sia dall’invadenza dello stato e sia dalle imprese che trattano i dati personali.
Queste norme si adeguano alle tecnologie moderne e risolvono problemi di frammentazione nelle legislazioni nazionale, di evoluzione tecnologica e obsolescenza e di inadeguatezza delle sanzioni.
Si ha dunque una nuova classificazione dei dati personali, quelli che riguardano direttamente o indirettamente una persona fisica, come per esempio un numero identificativo (vedi codice fiscale, codice bancario). Le categorie particolari includono i dati sensibili come: l’origine etnica, la religione, gli aspetti filosofici e lo stato di salute (in questo contesto l’età e il patrimonio economico non sono considerati dati sensibili).
Tra le nuove categorie rientrano i dati biometrici, che specificano caratteristiche fisiche e fisiologiche, e possono essere statici o dinamici, come l’impronta digitale o l’iride, la firma o la camminata di un soggetto.
In questo senso i parametri previsti dal GDPR si applicano ai dati delle persone in azienda e ai clienti della stessa.

GDPR: privacy e compliance, oltre la data security

Particolarmente importante il concetto di “Accountability”, il principio di responsabilizzazione e documentazione. Fissa alcuni principi base e lascia all’azienda gli strumenti per la protezione e la gestione delle responsabilità. In questo ambito gli aspetto di processo diventano fondamentali. La documentazione delle attività è fondamentale.

Esistono dunque ruoli specifici, a partire dal Responsabile del Trattamento, i trattamenti del Responsabile sono disciplinati da un contratto o altro atto giuridico. Questa figura è responsabile dell’attuazione delle misure di sicurezza e non ricorre ad altro Responsabile senza previa autorizzazione del Titolare. Non solo, è responsabile della compliance normativa per il trasferimento dati.

Oltre al Titolare del Trattamento e ai Contitolari e Rappresentati, debutta la figura del DPO, o Data Protection Officer.
Il DPO riferisce al vertice gerarchico del Titolare o del Responsabile del trattamento, rispetta il requisito dell’indipendenza e dell’assenza di conflitto di interessi e coopera con l’autorità di controllo.
Ha un ruolo di indirizzo e controllo e Fornisce consulenza al Titolare e al Responsabile, sorveglia l’osservanza del Regolamento e fornisce un parere sul Privacy Impact Assessment.
Per raggiungere la compliance è dunque necessario ripensare i processi secondo un Risk-based approach, effettuando la mappatura dei dati personali e delle tipologie di trattamento.

Sommario