GDPR, la nuova normativa europea di protezione dati
Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo sulla protezione dei dati (GDPR – General Data Protection Regulation). I cambiamenti saranno più evidenti per le aziende che per i cittadini. Il regolamento si è reso necessario perché l’evoluzione tecnologica degli ultimi anni ha permesso una maggiore tracciabilità dei dati a discapito della sicurezza del dato stesso. Eurosystem Spa (www.eurosystem.it) e Nordest Servizi (www.nordestservizi.it) in collaborazione con CUOA Business School hanno organizzato un evento dedicato alle aziende per chiarire rischi e opportunità di questa nuova normativa. Tra i presenti Manuel Cacitti, Chief Executive Officer di Securbee Srl (nuova realtà del Nord Italia specializzata in servizi di sicurezza informatica) e David D’Agostini avvocato cassazionista e docente di informatica e diritto all’Università di Udine. Grazie al supporto dell’Ufficio Stampa Carapellese, abbiamo raccolto una loro intervista sull’argomento.
La privacy rappresenta un punto molto forte ed importante riguardo la protezione dei cittadini, quali nuovi vincoli introduce la normativa GPDR?
D’Agostini: Il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (noto con l’acronimo GDPR) si fonda su nuovi importanti pilastri normativi, tra i quali vale la pena richiamare il principio di accountability ovvero di responsabilizzazione. In buona sostanza il titolare del trattamento non solo dovrà rispettare le disposizioni in materia di privacy adottando adeguate misure tecniche e organizzative, ma dovrà essere anche in grado di comprovare che il trattamento è effettuato in modo conforme al Regolamento. Si tratta di un cambio di paradigma rispetto alla vigente normativa che avrà un impatto di non poco memento sui sistemi di gestione dei dati personali. Lo stesso può dirsi per altri cardini del nuovo Regolamento, quali i principi di privacy by defaul e di privacy by design che implicano un diverso approccio culturale – prima che giuridico o tecnico – al trattamento dei dati personali.
Lo stato attutale della disciplina sulla protezione dei dati?
Cacitti: Lo stato attuale della disciplina sulla protezione dei dati, intendendo con tali termini una dimensione complessiva di azioni e modalità progettuali/operative tese alla salvaguardia e tutela del dato, evidenzia uno scenario attuale per nulla positivo. I dati dell’ultimo rapporto CLUSIT, una tra le maggiori associazioni nazionali che si occupano di sicurezza informatica, evidenzia sostanziali ed evidenti lacune nelle modalità con cui oggi si gestisce il dato, e in modo particolare la sua sicurezza. Il problema principale non è di natura tecnologica, ma legato al fattore umano e a una mancanza di consapevolezza e di cultura della sicurezza informatica ancora troppo marcata.
Il Garante della privacy viene coinvolto e in che maniera nel processo?
D’Agostini: Il Regolamento conferma e rafforza la figura delle “Autorità di controllo” istituite da ciascuno Stato membro, ossia i “Garanti privacy” già previsti dalla Direttiva 95/46/CE (abrogata e sostituita dal GDPR). Ogni Garante continuerà a esercitare le proprie funzioni nel territorio del rispettivo Stato membro, ma nel caso di trattamenti transfrontalieri – al fine di adottare una decisione unica – il Garante del Paese in cui è ubicato lo stabilimento principale del titolare agirà in qualità di “Autorità di controllo capofila”. Tra i principali compiti dei Garanti, oltre all’effettuazione dei controlli e all’applicazione delle sanzioni, si segnala quello di incoraggiare l’istituzione di meccanismi di certificazione della protezione dei dati e l’elaborazione di codici di condotta finalizzati a contribuire alla corretta applicazione della nuova normativa.
Come dovranno prepararsi le aziende all’entrata in vigore delle nuove norme e con quali tempistiche?
Cacitti: Per quanto riguarda il Regolamento (UE) 2016/679, il termine di scadenza è fissato per il 25 maggio 2018. Entro tale data, qualora un’organizzazione risultasse assoggettata all’obbligo di recepimento della normativa, deve mettere in atto delle azioni strutturate per l’adeguamento. Il punto di partenza dovrebbe essere un’attività di valutazione da svolgere con l’ausilio e la supervisione di personale competente, in grado di comprendere lo scenario attuale dell’organizzazione, mappare il suo livello di conformità rispetto al GDPR e descrivere una possibile traccia di azioni integrative da svolgere. Il dato rilevante in questo caso, e non certo positivo, è che ad oggi buona parte degli analisti stimano che a livello nazionale due aziende su tre non si sono ancora attivate per effettuare almeno una valutazione circa il possibile adeguamento alla norma.
Quali soluzioni tecnologiche e legali si dovranno implementare nei processi aziendali?
Cacitti: Possono essere molteplici, in relazione al grado di aderenza possibile rispetto alla norma. Prescindendo da quanto detto precedentemente rispetto alla necessità di partire con un’attività di assessment iniziale per la valutazione dello scenario e l’analisi degli eventuali gap, tra gli elementi potenzialmente da considerare ci sono sicuramente la necessità di svolgere un Piano di Valutazione d’impatto sui Dati Personali (DPIA – Data Protection Impact Assessment), l’obbligo di identificare e dotarsi di un Responsabile della Protezione dei Dati (DPO), la necessità di una revisione di alcuni documenti di natura legale, il potenziamento e l’introduzione di alcuni controlli tecnologici che permettano da subito di tutelare riservatezza, integrità e disponibilità del dato. In generale, azioni che vadano a migliorare e aumentare il grado di governo sul dato gestito, soprattutto in relazione al fatto che un utente potrebbe chiedere legittimamente conto di come i suoi dati risultino trattati dall’organizzazione, oltre a richiederne l’eventuale cancellazione o trasferimento presso altri.
I rischi per chi non si adegua?
D’Agostini: Come noto, in caso di violazione delle disposizioni contenute nel GDPR sono previste sanzioni amministrative pecuniarie piuttosto elevate: a seconda delle norme violate, gli importi arrivano fino a 10.000.000 euro oppure a 20.000.000 euro (ovvero rispettivamente fino al 2% o al 4% del fatturato mondiale annuo, se superiore). A tal proposito, con la legge di delegazione europea (n. 167/17) recentemente approvata, il Governo è stato delegato ad adeguare entro sei mesi il vigente sistema sanzionatorio italiano rispetto alle disposizioni del Regolamento europeo con previsione di sanzioni non solo amministrative, ma anche penali; ciò non costituisce una novità, atteso che anche l’attuale Codice privacy prevede specifiche ipotesi di reato, come per esempio il trattamento illecito di dati personali o l’omessa adozione di misure minime di sicurezza. Da ultimo, ma non per importanza, chi non rispetta le norme in materia di privacy si espone al concreto rischio di rispondere in sede civile dovendo risarcire il danno cagionato, inclusa la componente non patrimoniale.
La nuova direttiva NIS si interfaccia con la GDPR?
Cacitti: La direttiva NIS (Network and Information Security Directive) del 6 luglio 2016, recepita a livello nazionale dal cosiddetto DPCM Gentiloni del 17 febbraio 2017, si pone come obiettivo quello di raggiungere un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni, comune a tutti i Paesi membri dell’UE. Dalla direttiva emerge in modo rilevante un richiamo d’attenzione agli stati membri sulla necessità di intervenire in maniera coordinata, uniforme e incisiva per contrastare la minaccia cyber ed innalzare il livello di difesa dello spazio cibernetico nazionale e comunitario. La norma non si occupa direttamente delle tematiche del GDPR, ma in modo indiretto sicuramente ne costituisce un rafforzamento. Tra i soggetti destinatari della direttiva NIS, oltre agli Operatori di servizi essenziali (che possiamo di fatto identificare come infrastrutture critiche), vi sono infatti anche i Fornitori di servizi digitali (cloud providers, motori di ricerca, Marketplace), che sicuramente rientrano nell’ambito di applicazione del GDPR. Il fatto che tali soggetti debbano adeguare e potenziare le loro infrastrutture per aumentare il grado di resilienza verso l’esposizione ai cyber-attacchi, sicuramente giova rispetto al tema della tutela, corretta gestione e salvaguardia dei dati personali eventualmente trattati.
Nell’ottica del mercato unico digitale che la Commissione Juncker vuole realizzare in tempi strettissimi che importanza riveste la protezione dei dati?
D’Agostini: Come esposto con chiarezza nella comunicazione della Commissione del gennaio 2017 intitolata “Costruire un’economia dei dati europea”, la protezione dei dati personali acquisisce un’importanza centrale nella strategia del mercato unico digitale, soprattutto allo scopo di garantire all’interno dell’Ue un flusso di dati sicuro e affidabile, funzionale alla libera circolazione di merci, lavoratori, servizi e capitali. La salvaguardia della privacy rimane un valore non negoziabile, come evidenziato dallo stesso Presidente Juncker il quale ha affermato che “essere europei significa avere diritto alla protezione dei propri dati personali, perché in Europa ci teniamo alla riservatezza”.
©Futuro Europa® Le immagini utilizzate sono tratte da Internet e valutate di pubblico dominio: per segnalarne l’eventuale uso improprio scrivere alla Redazione