L’adozione del nuovo regolamento europeo che sostituirà, fra pochi mesi, le precedenti leggi sulla privacy porterà un incremento dei compiti relativi al trattamento dei dati da parte delle aziende. Ecco le 10 cose da tenere presenti.

1. Che cosa vuol dire GDPR?

Dietro la sigla GDPR si celano le parole General Data Protection Regulation, ovvero Regolamento Generale per la Protezione dei Dati. Ma il vero obiettivo della normativa non è la protezione dei dati in sé, quanto la protezione dei diritti dei proprietari dei dati. E per proprietario non si intende l’azienda che ha raccolto e memorizzato i dati stessi, ma la persona fisica cui quei dati si riferiscono.

2. Quando entrerà in vigore la GDPR?

25 maggio 2018: questa data apparentemente innocua pare essere diventata lo spauracchio degli IT manager di tutta Europa. La ragione è semplice: essa segnerà la definitiva entrata in vigore del nuovo regolamento continentale per il trattamento dei dati, la famosa GDPR o in termini tecnici il Regolamento UE 2016/679.

3. Che cosa fa la GDPR?

La GDPR, in pratica, mette in atto tutta una serie di norme concernenti il modo in cui un’azienda (pubblica o privata) raccoglie dati sui cittadini (clienti, pazienti, o altro), il modo in cui li deve conservare per far sì che le informazioni non vengano divulgate oltre il necessario o senza permesso, le modalità con cui i proprietari dei dati possono accedere alle informazioni che li riguardano per verificarle, modificarle o richiederne la cancellazione, e le regole da seguire nel caso si rilevi un’intrusione o un danneggiamento dei dati registrati.

4. Sono previste sanzioni?

Il nuovo regolamento fissa sanzioni pesantissime per chi, in un modo o nell’altro, non rispetta la normativa. Rispetto alle norme precedentemente in vigore, tipo la direttiva 95/46 (legge sulla privacy), si deve registrare per prima cosa una maggiore organicità delle regole, e secondariamente questo cambio di prospettiva per cui la GDPR mette effettivamente al primo posto l’interesse delle persone cui i dati si riferiscono. Tanto che, per esempio, le mille scappatoie presenti nella legge sulla privacy riguardo al consenso al trattamento sono state praticamente tutte chiuse. Chi per esempio provasse a contattare (anche via email) una persona che non ha dato il permesso esplicito di essere raggiunta, rischia multe salatissime.

5. Come saranno trattati i dati sensibili?

Se con la nuova normativa tutti i dati personali sono considerati sensibili, i dati sanitari lo sono in modo speciale, tanto che sono previste ulteriori restrizioni per il loro utilizzo, legate all’estrema confidenzialità. I dati sanitari, per fare un esempio “scottante”, si potranno usare solo per finalità connesse alla salute (cura), per la supervisione del sistema sanitario nazionale (governo) e per la ricerca purché di pubblico interesse. Inoltre, i singoli governi possono introdurre ulteriori limitazioni o condizioni particolari per il trattamento.

6. Ci sono anche i vantaggi?

Detta così, l’introduzione della GDPR sembra essere solo una grande fonte di grattacapi per ogni azienda, pubblica o privata, che raccolga, memorizzi e utilizzi dati relativi a persone. In realtà, si tratta anche di una grande opportunità da cogliere. La natura stessa del regolamento, infatti, incoraggia una riprogettazione completa delle basi dati aziendali, che vanno ripensate in modo da assicurare la privacy “by design” e “by default”, ovvero direttamente in fase di progetto e non facoltativa. E questo permetterebbe, per esempio, di riorganizzare in modo coerente i tanti database che spesso in azienda sono cresciuti in modo disordinato e indipendente uno dall’altro, con il risultato di rendere difficile il confronto fra i dati e l’utilizzo combinato dei database stessi, riducendo nettamente l’efficacia di questi strumenti. Inoltre, potrebbe essere l’occasione buona per “pulire” database che sono in produzione da tempo e che, molto probabilmente, conterranno una elevata percentuale di dati obsoleti, incompleti, mal codificati o semplicemente sbagliati.
Una progettazione di questo tipo avrà dei vantaggi anche in termini di sicurezza.

7. Le sfide a breve: le priorità per le aziende

In attesa che si concretizzino i vantaggi promessi dalla GDPR, le aziende sono alle prese con i compiti fondamentali per arrivare all’implementazione corretta del regolamento a fine maggio. Il garante della privacy, in particolare, ha individuato già diversi mesi fa tre priorità per le pubbliche amministrazioni: selezionare una persona per il ruolo di Responsabile della protezione dei dati personali (DPO, Data Protection Officer), implementare le procedure interne per istituire i registri dei trattamenti, e definire le procedure relative alla rilevazione, registrazione e comunicazione agli interessati di eventuali violazioni dei dati.

8. Chi è il Data Protection Officer?

Fra le altre cose, come visto nel punto precedente, la GDPR definisce anche una serie di figure precise che si occupano della gestione dei dati in azienda. E se nella maggior parte dei casi si tratta di dare un nome nuovo a figure preesistenti, come “data controller” e “data processor”, la direttiva introduce anche una new entry nell’organico. Si tratta della figura del Data Protection Officer, probabilmente una delle novità più rilevanti della GDPR. Di fatto, è una persona che può essere sia interna che esterna all’azienda – un consulente per esempio- e il cui compito è quello di vigilare perché siano poste in essere correttamente tutte le procedure tecniche e amministrative che garantiscono il corretto trattamento dei dati secondo la direttiva europea.

9. Quali sono gli incarichi principali del DPO?

Il Data Protection Officer è, come visto, una figura operativa e di controllo, che avrà quattro incarichi principali. Dovrà informare il personale che si occupa dei dati sulle disposizioni della GDPR, controllare che le normative stesse vengano attuate correttamente, fare da ponte fra i responsabili del trattamento dati e il Garante della Privacy, e assicurarsi che le norme siano rispettate in modo da scongiurare il pericolo di sanzioni. Il fatto che il ruolo sia a cavallo fra l’amministrativo e l’operativo, e soprattutto che richieda solide competenze sia in tema di legge (deve conoscere a fondo la direttiva e i suoi corollari, le leggi sulla privacy eccetera), sia in tema di gestione operativa dati e cybersecurity, fa sì che ci siano pochi professionisti in grado di ricoprire il ruolo. Anche se vari organismi in Europa si sono mossi tempestivamente per organizzare la formazione e la certificazione di figure adatte al compito di DPO, non è difficile prevedere un periodo iniziale di scarsa disponibilità di personale adeguato, cosa che costringerà molte aziende a ricorrere a consulenti esterni o, nel caso di pubbliche amministrazioni, a consorziarsi per condividere un DPO fra varie organizzazioni.

L’importante, comunque, è evitare che la nuova figura venga di fatto svuotata come è successo all’attuale “responsabile del trattamento dati”, indicato come referente dalla legge sulla privacy, che spesso è ridotto a essere poco più che una semplice firma su un foglio.

10. Per approfondire ulteriormente

Il posto migliore dove reperire informazioni sulla GDPR è certamente il sito del Garante della privacy. Trovate tutte le informazioni sul nuovo regolamento sul sito www.garanteprivacy.it/regolamentoue.