GDPR: IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI

0 Replies

Il 26 maggio dello 2016, il Parlamento Europeo, ha emanato un nuovo regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.  A far data dal maggio 2018, il Regolamento 679/2016 (GDPR) sarà applicato in tutti gli stati membri. Quale sarà l’impatto sui sistemi di sicurezza e protezione dei dati?

Il tema della protezione dei dati personali è oggetto dell’attenzione del legislatore da circa 20 anni, più o meno da quando Internet ha rivoluzionato il modo di trasmettere le informazioni. In Italia, la prima normativa, comunemente nota come “Legge sulla Privacy” risale al 1996. All’epoca fu una vera rivoluzione: prima di allora nessuna organizzazione pubblica o privata era tenuta a garantire che il “trattamento dei dati personali” seguisse regole ben definite, la cui violazione implicava importanti responsabilità. Nel 2003 entrò in vigore il D. Lgs 196/03, con l’obiettivo di entrare nel merito di alcune specificità legate alla norma, senza però tenere conto dell’evoluzione tecnologica in atto e lasciando quindi ancora molti spazi di indeterminatezza. Come l’Italia, anche gli altri Paesi europei hanno promulgato negli anni leggi sul tema della protezione dei dati personali, producendo così, a livello Europeo, un quadro normativo disomogeneo e frammentato. Nelle considerazioni iniziali del Regolamento 679/2016 leggiamo infatti “La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione”. Obiettivo del GDPR è quindi creare un impostazione sistemica, in cui il tema della sicurezza passi da una logica di «minimo» a una logica di «adeguato» in base ai rischi corsi. La prima grande novità rispetto alle normative vigenti, risiede proprio nella VALUTAZIONE DEL RISCHIO: in pratica viene chiesto ad ogni azienda o pubblica amministrazione, di fare un’analisi sulla probabilità e sulla gravità del rischio. La seconda novità è l’obbligo di porre in essere un piano, che preveda MISURE TECNICHE ED ORGANIZZATIVE ADEGUATE a garantire la massima tutela delle persone, i cui dati sono oggetto del trattamento. Un altro cambiamento importante introdotto dal nuovo regolamento è relativo alla ENTITÀ DELLE SANZIONI PREVISTE. Tenendo conto che “La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale”, il mancato rispetto della normativa, viene visto come una lesione voluta di tale diritto. Secondo l’art 83 del Regolamento sono previste “sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”. È quindi importante, che ogni azienda utilizzi il 2017, per comprendere meglio le implicazioni della normativa e definire un piano d’azione per adeguarsi ad essa. Qualche settimana fa, l’Osservatorio Information Security & Privacy del Politecnico di Milano, ha presentato i risultati di una ricerca condotta su un campione di 148 CIO di grandi aziende italiane. Notiamo come, ad oggi, solo il 9% degli intervistati abbia in essere un progetto strutturato di adeguamento alla normativa e solo il 15% dichiari di avere un budget disponibile per affrontare questo aspetto, a fronte del 50% per cui nessun budget è stanziato né previsto per i mesi a venire. Implicazioni GDPR per aziende italiane   Tra le azioni da implementare, solo il 42% delle aziende prevede il Data Protection Impact Assesment (DPIA), un dato che forse va collegato alla scarsa conoscenza del nuovo regolamento, il quale lascia sì all’Azienda la facoltà di decidere se fare o meno il DPIA, ma si riserva di obiettare alle motivazioni per cui la stessa ritenga di non doverlo fare, motivazioni che devono essere documentate e presentate all’autorità di controllo. GDPR azioni per adeguarsi a normativa Interessante è anche notare che tra le azioni viene menzionata la revisione dei sistemi di sicurezza IT, ma non è indicata la revisione dei processi di Ricerca e Sviluppo dell’azienda. Se pensiamo all’industria manifatturiera, in cui –secondo un’analisi del Boston Consulting Group – l’utilizzo dell’IoT dovrebbe concentrarsi su manutenzione predittiva, produzione auto-ottimizzata e gestione automatizzata delle scorte, viene da domandarsi se già in fase di progetto non sia necessario fare considerazioni importanti sul tema della Privacy, coinvolgendo diversi reparti aziendali, tra cui ICT e Legale. Una cosa è certa: il GDPR aumenta le responsabilità dei soggetti che trattano i dati personali e obbliga a prendere tutte le misure necessarie per ridurre, tra gli altri, anche i rischi di perdita, manomissione, diffusione non autorizzata, furto. Se fino a un decennio fa, si trattava per lo più di creare un sistema di sicurezza attorno all’azienda e al suo Data Base, oggi la realtà è più complessa e spinge i responsabili ICT a definire un sistema di sicurezza che integri la sicurezza di sistemi di messaggistica, social media, web, network, cloud, smartphone, wearable, IoT, endpoint e sistemi di e-commerce.
Fonti https://www.bcgperspectives.com/content/articles/hardware-software-energy-environment-winning-in-iot-all-about-winning-processes/ http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT http://www.osservatori.net/it_it/

IL NUOVO ANNO DI PPSIndustria 4.0: a che punto siamo

Share Your Thoughts

Your email address will not be published. Required fields are marked *