GDPR: cosa è, spiegato in maniera semplice!

Dal 25 maggio 2018 è stato applicato, in tutti gli stati membri dell’Unione Europea, il cosiddetto GDPR (General Data Protection Regulation), nuovo regolamento europeo sulla protezione dei dati.

In vigore dal 24 maggio 2016, il GDPR è stato concepito per garantire la tutela dei dati personali al momento del trattamento, con lo scopo di scongiurare eventi come la perdita, la cancellazione, i trattamenti non autorizzati o illeciti e i danni accidentali in grado di compromettere la privacy.


Ma cos’è il GDPR?

Con GDPR, acronimo di General Data Protection Regulation, si intende il Regolamento UE 2016/679 entrato in vigore il 24 maggio 2016 e direttamente applicabile dal 25 maggio 2018, termine ultimo per adeguarsi ai principi. L’intera normativa GDPR si basa su due importanti direttrici: il rafforzamento del concetto di responsabilizzazione e dei doveri che ne conseguono per il Titolare del trattamento e il rafforzamento dei diritti dell’interessato. Il Titolare del trattamento, quindi, deve adeguarsi ai principi del Regolamento, mettendo in atto misure tecniche e organizzative per provarne l’adattamento e assicurarne il mantenimento.

Per ottemperare agli obblighi del GDPR, sono necessari due elementi:
  • Privacy by design → Già in fase di progettazione dei sistemi informativi e dei mezzi per il trattamento, devono essere designate le misure tecniche e organizzative adeguate.
  • Privacy by default → Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

immagine gdpr4


I principi guida del GDPR

Oltre al principio cardine della responsabilizzazione, sono da annoverare i seguenti punti chiave:

  • Liceità, correttezza e trasparenza → I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.
  • Minimizzazione dei dati → I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità.
  • Esattezza → I dati personali devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti.
  • Limitazione della conservazione → I dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
  • Integrità e riservatezza → I dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione dalla distruzione o dal danno accidentali.

Chi deve adeguarsi al GDPR?

Questo Regolamento coinvolge tutte le aziende europee che gestiscono in vari modi i dati personali; in particolare:

si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione (art. 3).

Non rientrano, quindi, nel tema, tutte le attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale.

immagine gdpr2


Quali sono i diritti dell’interessato?

Se da una parte vengono elencati gli obblighi per i Titolari del trattamento, dall’altra vengono elaborati dei diritti a favore dell’interessato del trattamento. Fra questi:

  • Informativa sul trattamento. Le informazioni relative al trattamento devono essere presentate in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. L’interessato ha il diritto di essere informato sulla finalità del trattamento, sugli eventuali destinatari/utilizzatori dei dati, sul periodo di conservazione dei dati, sulle modalità per richiedere la rettifica o la cancellazione.
  • Diritto di accesso. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano.
  • Diritto di rettifica e di cancellazione (o diritto all’oblio). L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica o la cancellazione dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.
  • Diritto alla portabilità dei dati. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano, forniti in precedenza ad un titolare del trattamento ed ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti e/o ritardi.
  • Diritto di opposizione. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali.

Strumenti per garantire la sicurezza dei dati personali

Il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative utili per garantire un livello di sicurezza adeguato al rischio, che comprendono, solo a titolo di esempio:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

immagine gdpr_e_social1


Asset Inventory

Tra le azioni pratiche da adottare per rispondere ai requisiti richiesti dal GDPR è importante l’Asset Inventory (o inventario degli asset tecnologici). L’inventario degli asset tecnologici serve ad avere una panoramica completa di tutti gli elementi che compongono il sistema, compresi quelli preposti alla sicurezza e alla gestione delle informazioni.

Alcuni degli elementi da censire
  1. Dispositivi: computer, server, tablet, dispositivi di rete, ma anche telecamere IP, apriporta, sistemi di rilevazione presenza.
  2. Software: dotazione software dei dispositivi presenti in rete e informazioni dettagliate degli stessi.
  3. Archivi: database, condivisioni di file.
  4. Utenti: elenco degli utenti che hanno diritto all’accesso a dispositivi e software presenti in azienda.

L’Asset Inventory è lo step intermedio tra la stesura del Registro dei trattamenti e il Sistema informativo. Attraverso il Registro dei trattamenti, i Responsabili dell’azienda stilano una lista di tutti gli applicativi utilizzati per il trattamento. Il Registro può essere sia in forma scritta sia in formato elettronico e rappresenta un censimento, costantemente aggiornato, dei dati trattati, degli archivi, delle categorie degli interessati. A questo si aggiunge l’Asset Inventory, l’inventario di tutti gli asset tecnologici presenti in azienda.


Cos’è il data breach e cosa comporta?

Cosa succede in caso di violazione dei dati personali (chiamata anche Data Breach)?

In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

La notifica deve avere le seguenti caratteristiche:
  • descrivere la natura della violazione, dati personali compresi;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

immagine links gdpr

 

Concludo condividendo alcuni link utili per chi volesse approfondire meglio l’argomento, riguardo ai vari social media:

Maria Gabriella Depalo

Mi chiamo Maria Gabriella Depalo, sono nata in piccolo paesino del nord barese affacciato sul mare e sono laureata in Informatica.
Sono la “scienziata” del gruppo e mi dedicherò principalmente ad argomenti di tipo scientifico/tecnologico.
Spero vivamente di riuscire a coinvolgervi tutti nelle mie passioni.
Potete contattarmi scrivendo a: mg.depalo@inchiostrovirtuale.it

Ti è piaciuto? Condividilo!

Comments are closed.