Normativa GDPR: acronimo e definizione

Il GDPR, acronimo di: General Data Protection Regulation, è una normativa per la tutela dei dati personali, che è entrata in vigore nel 2018. Comprende una serie di regole da rispettare per garantire la protezione dei dati personali dei cittadini europei. La normativa GDPR si applica a qualsiasi organizzazione — non soltanto europea — che gestisce dati di utenti europei e di chiunque risieda nello Spazio Economico Europeo (EEA, European Economic Area).

Il GDPR (legge sulla privacy) stabilisce tre soggetti principali nell'ambito del trattamento dei dati personali: l'interessato al trattamento dei dati (Data Subject), il Titolare del trattamento (Data Controller), e colui che tratta tali dati per conto del titolare (Data Processor). (Articolo 28A).

In particolare, l'interessato è la persona di cui vengono raccolti i dati. Il Titolare del trattamento, o controllore, è l'organizzazione che determina le condizioni, le finalità, ed il metodo in cui i dati personali dell'interessato vengono raccolti. Ed infine il processore, cioè l'organizzazione che elabora tali dati per conto del controllore.

Sotto la legge sulla privacy GDPR, controllori e processori possono avere sede in qualunque parte del mondo - inclusi gli Stati Uniti d'America. Questo è un grande cambiamento rispetto alle vecchie normative Europee.

Anche le sanzioni, per il mancato rispetto della normativa sulla privacy sono cambiate, e sono molto più alte rispetto a prima. Ad esempio, l'autorità preposta al controllo della protezione dei dati può comminare multe e penali fino al 4% del fatturato annuo oppure fino a 20 milioni di euro.

La normativa GDPR nasce dall'obiettivo dell'Unione Europea, di realizzare un mercato digitale unico. Esso si basa sui seguenti principi.

Trasparenza

Tutti gli interessati al trattamento dei dati (Data Subjects) hanno il diritto di conoscere le modalità, e le finalità della raccolta dei propri dati. E devono dare il consenso esplicito al trattamento. (Articoli 7, 10, 11 e 12). La legge sulla privacy impone un enorme salto per la maggior parte delle aziende e organizzazioni, passando dalla raccolta dati basata sull'opt-out, a quella basata invece sull'opt-in.

Minimizzazione dei dati

Con la normativa GDPR, il livello di ogni trattamento dati personali, deve essere proporzionale allo scopo per cui tali dati vengono raccolti. Ciò significa raccogliere solamente i dati strettamente necessari, e conservarli il meno tempo possibile, giusto il necessario per servire il cliente.

I dati vanno tenuti aggiornati e dovete garantirne inoltre l'integrità e l'assoluta confidenzialità.

Limitazione della finalità

Il GDPR definisce specifiche condizioni, che consentono la raccolta di dati personali (Articolo 6). È consentito raccogliere dati personali, se ciò è necessario per:

• Fornire il prodotto o servizio che il soggetto richiede.
• Soddisfare obblighi giuridici.
• Proteggere interessi vitali del data subject o di chiunque altro.
• Svolgere un compito nell'interesse collettivo o conferito da una pubblica autorità.
• Perseguire altri interessi legittimi — eccetto nel caso in cui entrino in conflitto con gli interessi o i diritti di base del data subject, in particolare nel caso dei bambini.

La legge sulla privacy GDPR impone requisiti molto più rigidi in tema di privacy, rispetto alle vecchie normative, e garantisce maggiori poteri ai soggetti di cui si raccolgono i dati, come:

• Il diritto di essere rimossi (il vecchio “diritto all'oblio”). Quando non esistono valide motivazioni per conservare i dati e i data subjects richiedono la rimozione parziale o totale, dovete prontamente provvedere a rimuoverli. (Articolo 17). Rispettare questa regola può essere difficile per i fornitori di servizi cloud e email. Essi spesso suddividono i dati e li conservano dove rimane loro più conveniente, oltre che nei backup e negli archivi.
• I dati personali sono più di semplici dati utilizzati per identificare una persona. Secondo la normativa GDPR, vanno inclusi anche i metadati. Tra cui indirizzi IP, codici di identificazione delle SIM card (ICC-ID), numeri di cellulare, dati biometrici, e anche cookies dei siti web che vengono visitati dall'utente. Il GDPR è inoltre retroattivo. Si applica cioè anche a tutti i dati raccolti prima dell'entrata in vigore del GDPR.
• Portabilità dei dati (Articolo 20). Le persone hanno il diritto di spostare i propri dati da un servizio ad un altro — mantenendo tali dati intatti, privati e protetti.
• Su richiesta, i Titolari del trattamento, devono informare i soggetti di cui vengono raccolti i dati, se i propri dati vengono elaborati (Articolo 15).
• Regolamentazione più stringente per i dati protetti. Tra cui condizioni per il consenso, registri del trattamento, e specifiche più severe per la notifica dei data breach (Articoli 7, 30, 33-34).
• Chiunque tratti o conservi dati personali di cittadini Europei, potrebbe aver bisogno di un DPO (Data Protection Officer) (Articoli 35-37). Il GDPR è molto chiaro riguardo al ruolo del DPO e alle sue caratteristiche. In aggiunta, i titolari del trattamento e i processors, con sede al di fuori dell'Unione Europea devono nominare un rappresentante in uno stato membro dell'UE dove risiedono i soggetti di cui si raccolgono i dati.
• Dovete inoltre essere in grado di rispettare gli stringenti requisiti per il rilevamento dei data breach e l'immediata notifica (entro 72 ore dal momento in cui viene scoperta la violazione dei dati).

Data Protection by Design, by Default e Sicurezza del Trattamento

Parlando del GDPR ci si imbatte in tre concetti fondamentali: DATA PROTECTION BY DESIGN, DATA PROTECTION BY DEFAULT, e SICUREZZA DEL TRATTAMENTO.

La DATA PROTECTION BY DESIGN si riferisce ai mezzi e ai sistemi di difesa che i Titolari del trattamento devono implementare, per essere conformi alla normativa GDPR. Questi includono anche ogni misura tecnica e organizzativa.

La DATA PROTECTION BY DEFAULT afferma che il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate, per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per fornire il servizio concordato. (Articoli 25 e 32).

La SICUREZZA DEL TRATTAMENTO impone al titolare del trattamento e al responsabile di tale trattamento, la messa in atto di misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio di divulgazione. Il mancato rispetto di queste regole può costare le pesanti sanzioni previste dal GDPR.

Non soltanto dati dei clienti

I tre principi di trasparenza, limitazione della finalità, e minimizzazione dei dati si applicano non soltanto ai dati relativi ai clienti. Essi vengono applicati allo stesso modo, anche ai dati riguardanti i dipendenti.

Molte aziende raccolgono ed elaborano dati della navigazione internet dei propri dipendenti per motivi di sicurezza: bloccare i malware, impedire la divulgazione di proprietà intellettuale, proteggere i diritti degli altri lavoratori, e così via. Va trovato il giusto compromesso in questo caso, tra i diritti dei dipendenti alla protezione dei dati, e le esigenze di sicurezza dell'azienda.

Conoscete i vostri dati

Il GDPR richiede che si conoscano il tipo di dati che si sta raccogliendo, elaborando, e conservando. Ad esempio la normativa GDPR è molto chiara riguardo al fatto che non si possono raccogliere dati al fine di determinare una serie di tratti come la razza, la provenienza etnica, gli orientamenti politici, religiosi o il credo filosofico, a meno di specifiche eccezioni (Articolo 9).

L'unico modo per assicurarvi di avere una valida motivazione per raccogliere i dati, è di comprendere pienamente che tipo di dati state raccogliendo.

La legge europea sulla privacy GDPR interesserà molte aziende e organizzazioni in tutto il mondo — indipendentemente da dove hanno sede. Ed essere conformi alla normativa, sarà una cosa non da poco.

Ecco una breve checklist per assicurarvi di aderire alla normativa GDPR:

1. Conosci le direttive riguardo la protezione dei dati. Esse includono sia i dati dei clienti che quelli dei dipendenti.
2. Effettua una valutazione d'impatto della protezione dei dati (DPIA) (Articolo 35). La DPIA valuta tutti gli aspetti relativi alla protezione dei dati dei cittadini residenti nell'Unione Europea. Indipendentemente da dove vengano elaborati o conservati tali i dati. La DPIA deve fornire una chiara e dettagliata valutazione del rischio.
3. Occuparsi prontamente delle richieste di cancellazione o portabilità, così come segnalare immediatamente ogni possibile violazione dei dati. Ciò richiede la messa in atto di procedure e misure tecniche e organizzative adeguate.
4. Se aveste più di 250 dipendenti, potreste aver bisogno di un DPO, anche se aveste sede negli Stati Uniti.