GDPR: come cambia il trattamento dei dati

di CST

Il 25 maggio entrerà in vigore in tutta l'Unione Europea il General Data Protection Regulation

I dati sono sempre più al centro dei modelli di business aziendale. Il loro trattamento è diventato un tema basilare. Non a caso, anche sui media generalisti, se ne discute sempre più spesso, soprattutto in caso di data breach, ovvero quegli incidenti di sicurezza informatica che comportano la copia, il furto o la divulgazione di dati sensibili, protetti o riservati.

Il prossimo 25 maggio entrerà in vigore una nuova normativa, l'ormai famoso GDPR (General Data Protection Regulation), che normerà la raccolta, condivisione, gestione (e distruzione) dei dati personali. Si tratta di un passo necessario e a lungo atteso, poiché la precedente normativa faceva riferimento alla direttiva europea 95/46/CE, datata 1995.
Praticamente un'altra era, in termini digitali.

L'obiettivo del legislatore europeo è duplice. Da una parte tutelare maggiormente i dati personali degli utenti. Dall'altra, semplificare il contesto normativo, creando un regime di protezione dei dati comune a tutto il territorio dell'Unione Europea. Le norme saranno applicate anche alle imprese Extra UE che offrono servizi o prodotti all’interno del mercato comunitario.


GDPR: LE NOVITÀ INTRODOTTE

Il nuovo regolamento conferma la tutela del diritto alla protezione dei dati personali come diritto fondamentale delle persone, ponendo come principio cardine l’autodeterminazione informativa, ossia il diritto del singolo a decidere in prima persona sulla cessione e l’uso dei dati che lo riguardano.

Ma l'approccio è inedito, perché si basa su una forte responsabilizzazione del titolare del trattamento, il quale dovrà creare un modello di raccolta e gestione dati specifico per la propria attività, rispettando i parametri di liceità, correttezza, sicurezza e trasparenza.

Vediamo nel dettaglio le principali novità.


ACCOUNTABILITY

È probabilmente la vera rivoluzione del GDPR. Il principio dell'Accountability demanda ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati, mentre oggi è necessaria la notifica preventiva al Garante della Privacy.

Il regolamento non fornisce né suggerisce le misure pratiche da adottare. Ogni caso dovrà essere valutato specificamente, a seconda del contesto e delle finalità del trattamento.


PRIVACY BY DESIGN E PRIVACY BY DEFAULT

L'intero processo di trattamento dei dati - e i prodotti e servizi correlati - dovrà essere progettato fin dall'inizio in maniera tale da tutelare la privacy degli utenti. È questo il principio della privacy by design.

Il principio della privacy by default stabilisce invece che le imprese dovranno progettare un utilizzo che si limiti, per impostazione predefinita, ai soli dati necessari a rispondere alle finalità specifiche della gestione dei dati.


DIRITTO ALL’OBLIO E ALLA PORTABILITÀ DEI DATI

Alla luce del GDPR, l'utente che cede dati personali ad una società vedrà rafforzati due diritti.
Il primo è il diritto all'oblio: l’interessato potrà e dovrà ottenere dal titolare al trattamento dei dati personali la loro cancellazione nell’immediato, previa presenza di determinati requisiti (revoca del consenso, trattamento illecito, cessazione dell’utilità dei dati medesimi).

La portabilità dei dati, invece, consentirà all’utente di ricevere senza impedimenti i dati personali forniti a un titolare, e di trasmetterli a nuovo titolare del trattamento. Questa norma è utile per facilitare la circolazione dei propri dati da un ambiente informatico ad un altro, riducendo così il fenomeno del lock-in, ossia la dipendenza forzata dell’interessato da un determinato fornitore di servizi.


DATA PROTECTION OFFICER
 

Il nuovo regolamento europeo sulla privacy prevede l'obbligatorietà della figura del Data Protection Officer (DPO) ossia il responsabile della protezione dei dati. È una figura che può essere interna o esterna, e che dovrà riferire direttamente al vertice, godere d'indipendenza nell'esecuzione dei propri compiti e alla quale dovranno essere attribuite le adeguate risorse umane e finanziarie per raggiungere la mission assegnata.


ISTITUZIONE DEL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO

In questo documento, il titolare dovrà tenere traccia dettagliata delle attività compiute, indicando in particolare le finalità del trattamento, le misure di sicurezza informatica adottate, eventuali trasferimenti verso paesi terzi dei dati raccolti.

La tenuta del registro è un obbligo che si applica alle imprese e organizzazioni con almeno 250 dipendenti, ma si estende anche al di sotto di questo numero in caso di trattamento non occasionale, ad alto rischio, o in presenza di particolari categorie di dati (ad esempio i dati sensibili).

CST ha progettato un insieme di soluzioni specifiche per affrontare al meglio il tema GDPR.

SAR4GDPR™ - Security Assessment Report for

Produce una valutazione approfondita della vostra situazione attuale evidenziando puntualmente le possibili debolezze; da tale censimento oggettivo si può pianificare un Action Plan Operativo la cui esecuzione riduce il livello di rischio (GDPR Score Grid).

L'output è un report dei dettaglio (Report SAR4GDR) in formato pdf non modificabile di facile comprensione con una rappresentazione grafica semplice ed intuitiva, che riporta uno score di valutazione del rischio correlato al GDPR, a sezioni o capitoli distinti, ed un punteggio finale, GDPR Score Grid, che evidenzia lo stato di fatto globale.

SAT™ - Security Awerness Training

La formazione degli utenti è la chiave, Vi permetterà di migliorare esponenzialmente la sicurezza aziendale e di rimanere al sicuro dalle minacce di ultima generazione, riducendo i rischi di furto dei dati ed aumentando la compliance rispetto al GDPR.

CST propone corsi specifici rivolti a personale NON tecnico, per istruire i Vostri collaboratori sul comportamento da tenere per far si che tutti gli investimenti  fatti in ambito Cybersecurity abbiano un effettivo riscontro.

SAT™ mira a modificare l’approccio e la sensibilità alla Cybersecurity, mettendo a conoscenza gli utenti degli elevati rischi e delle relative responsabilità.

CST propone corsi confezionati ad-hoc preceduti da un questionario mirato che fornisce un’immagine oggettiva della situazione aziendale e la mappatura della «consapevolezza» dei dipendenti.

KEEP IN TOUCH
Ho letto e accetto le condizioni del trattamento dei miei dati personali
contatto commerciale
Accetto le norme sulla privacy