Si sente spesso parlare del Regolamento generale sulla protezione dei dati, conosciuto come GDPR. Un termine ed un regolamento che hanno debuttato nell’Unione Europea nel 2016 per regolare la privacy online e il trattamento dei dati personali degli utenti. Operativo dal 2018, il GDPR è un passo fondamentale per ogni azienda che desidera fare business e, soprattutto in Italia, molte piccole e medie imprese non hanno ancora implementato questo regolamento. Ancora più spesso, c’è molta confusione su cosa indica questo termine e cos’è necessario fare per mettersi in regola.
Cos’è il GDPR, una spiegazione breve
Come abbiamo visto, si tratta di un regolamento che si occupa della tutela dei dati e della privacy degli utenti online. È stata la Commissione europea a volere il GDPR che, tra gli altri, regola l’esportazione di dati personali fuori dall’Unione Europea, con obblighi precisi per i titolari delle informazioni riservate. Nell’era digitale, i dati non sono mai al sicuro e serve la giusta formazione sulla sicurezza online per proteggersi dalle minacce degli hacker e dei malintenzionati.
Insomma, il GDPR a cosa serve? Ad assicurarsi che le aziende e le organizzazioni non usino i dati degli utenti per scopi diversi da quelli esplicitati nei propri termini, clausole o regole d’uso. In Italia, il Garante della Privacy è l’autorità che si assicura che il GDPR venga rispettato e che accoglie reclami, ricorsi e segnalazioni.
Gli obiettivi del GDPR europeo
Il testo del regolamento pubblicato nella Gazzetta Ufficiale dell’Unione Europea contiene quasi 100 articoli, altrettanti addendi e clausole. Con il suo gergo tecnico, non è sempre facile da decifrare. Però, tra i tanti titoli e le tante aggiunte, salta subito all’occhio un tema fondamentale:
la responsabilizzazione, indicato anche come “accountability.”
In questo caso, sono i responsabili dei dati che devono adottare azioni e comportamenti che dimostrano la loro adozione delle misure del GDPR. In parole povere, sono le aziende ad occuparsi di implementare i concetti del regolamento e sono loro a dover rispondere delle conseguenze, se non adottano le misure sulla tutela dei dati. La responsabilità è solo e solamente dei titolari e dei responsabili. Le imprese possono decidere:
- Come mettere in pratica il GDPR;
- Le garanzie da dare ai propri clienti ed utenti;
- I limiti del trattamento dei dati personali.
Ovviamente, senza dimenticare le normative specifiche del trattamento europeo. Com’è possibile rispettare questi obiettivi? Facendo un’analisi preventiva su quali siano i fini del trattamento dei dati ed essendo consapevoli dei rischi, in particolare sugli impatti e le conseguenze che la propria policy può avere sulle libertà e i diritti degli utenti. Dopo la valutazione, l’azienda può consultare l’autorità di controllo competente per avere indicazioni su come gestire il trattamento e le possibili conseguenze.
Ed ecco che entra in gioco un altro tema del GDPR: la gestione del rischio.
L’individuazione e gestione del rischio secondo il regolamento
Come abbiamo visto, nel caso del GDPR il rischio è da intendersi come quello riservato agli utenti e ai loro dati personali. Per questo, quello che viene definito legalmente il “titolare” (cioè l’impresa che raccoglie i dati) deve indicare:
- Finalità dell’uso dei dati;
- Periodo per il trattamento.
La valutazione aiuta ad individuare gli eventuali scenari di pericolo, le loro probabilità e il danno che potrebbero causare. Le fonti di pericolo possono arrivare sia dai dipendenti che da fonti esterne all’impresa, oppure da fonti minacciose come i virus dei computer. Tra i tanti rischi ci sono l’accesso non autorizzato ai dati personali degli utenti o la modifica di queste informazioni sensibili.
Ora entra in campo un altro concetto essenziale del GDPR: la trasparenza. Quando si parla di trasparenza nel regolamento, significa trasparenza su come vengono raccolti, trattati i dati e la loro quantità. L’informativa che viene data agli utenti deve essere concisa ed accessibile, per evitare equivoci. Scritta con un linguaggio chiaro e semplice, la privacy policy di un’azienda non deve essere aperta ad interpretazioni.
GDPR: due strumenti essenziali per le aziende
Una volta fatta l’analisi, l’azienda deve attuare delle misure di sicurezza adeguate al rischio e dei codici di condotta adeguati. Primo fra tutti, il registro dei trattamenti. Secondo il regolamento europeo, solo le aziende con più di 250 dipendenti sono obbligate ad avere questo registro. Però, il Garante della Privacy italiano lo consiglia anche alle imprese più piccole. Il registro dei trattamenti include le valutazioni del rischio e i dettagli sulle operazioni di trattamento dei dati. Questo strumento è fondamentale anche in caso di controllo da parte del Garante.
Altrettanto importante all’interno di un business è il responsabile della protezione dei dati, una figura che aiuta a mettere in pratica il regolamento e che sensibilizza l’azienda sui temi della privacy e della protezione dei dati. Come scrivono le autorità europee, tra i compiti del responsabile ci sono “la sensibilizzazione e la formazione del personale.” Vista anche come una figura di sorveglianza, quella del responsabile è una figura fondamentale.
È importante sottolineare che il registro e il responsabile della protezione dati non sono obbligatori in ogni situazione. Però, il Garante consiglia di adottare queste due misure per non incappare errori o rischi. Non rispettare queste regolamentazioni e questi concetti non pone un rischio solo per gli utenti, ma anche per le imprese che possono incappare in sanzioni amministrative ed in notifica delle violazioni di dati personali.
Cosa succede quando non si rispetta il GDPR
Prima di tutto, è importante sapere che, dal 2018, è obbligatorio notificare all’autorità di controllo le violazioni di dati personali entro 72 ore se ci sono rischi effettivi. Altrimenti, non è obbligatoria. È il Garante della Privacy ad applicare le sanzioni, anche per le aziende che non si sono ancora adeguate al regolamento sulla privacy. L’autorità usa tre criteri:
- La natura della sanzione;
- La gravità;
- La durata del comportamento illecito.
Le sanzioni possono essere di due tipi: amministrative o penali. Nel caso di quelle amministrative, possono arrivare fino a 10 milioni di euro e il 2% del fatturato mondiale per le imprese per le infrazioni più gravi. Invece, le infrazioni di minore entità comportano un importo minore, calcolato anche in base alla gravità. Spesso, si tratta di sanzioni penali, con la reclusione che va da sei mesi fino a tre anni. In più, ci sono i risarcimenti civili per i danni che vengono causati agli utenti vittima di violazione dei dati.
Dal 2018, in tutta Europa sono state registrate 25601 multe per violazioni del GDPR, per un totale economico di 6 miliardi di euro. In media, circa 2,4 milioni di euro al giorno. Purtroppo, l’Italia si è guadagnata il secondo gradino del podio europeo, anche perchè molte aziende non si sono ancora adeguate al regolamento.
Ma non è troppo tardi. Il primo passo è chiedere il supporto di esperti di sicurezza online, come i professionisti di Helevio. Contattaci per parlare del tuo progetto, della tua azienda e dei tuoi obiettivi di cyber security.
