Gdpr può sembrare una sigla come tante ma in realtà si tratta di un acronimo molto importante che riguarda chiunque abbia una proprietà informatica (che sia essa un sito, un software, un’applicazione…) che ha a che fare con il Dato Personale dell’individuo. Ma andiamo con ordine, innanzitutto vediamo per cosa sta la sigla GDPR. GDPR sta per General Data Protection Regulation e si tratta niente meno che del nuovo codice della privacy che sarà in vigore a partire dal 25 maggio 2018. Tutte le aziende, imprese ed istituzioni in ambito europeo, dovranno dunque entro quella data, regolamentarsi con le nuove direttive.
Avendo parlato di dato personale non possiamo esimerci dal definirlo in modo terminologico e giuridico: per Dato personale si intende “qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica […] come nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer”
Ora che abbiamo risolto i due termini del “problema” cerchiamo di capirci qualcosa più a fondo. Il 25 maggio 2018, per volere degli Stati Membri dell’Unione Europea, entrerà a regime un nuovo regolamento per tutte quelle proprietà informatiche che trattano il dato personale dell’individuo. Le novità sono molteplici, ve ne descriviamo alcune facendoci aiutare dal sito www.gdpr.net. Innanzitutto viene introdotto il concetto di data protection by design, la protezione cioè dei dati sin dalla progettazione di una proprietà e protezione per impostazione predefinita (anche conosciuta come Data Protection by Design&Default). Altro concetto di grande importanza è quello relativo all’ “accountability”, e alla designazione del Data Protection Officer da parte del responsabile e del titolare del trattamento.
Per quanto riguarda il primo punto, si tratta del cosiddetto principio di responsabilizzazione, i titolari del trattamento della nuova privacy dovranno cioè garantire sempre e comunque il rispetto dei principi normativizzati: “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche”, e per questo motivo “non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Il GDPR 2018 introduce infine la figura del Data Protection Officer. Tale figura viene definita nell’art. 37 del regolamento ed assume l’acronimo di DPO. Il DPO non è dunque altro che il Responsabile della protezione dei dati e viene richiesta espressamente quando: “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala” e quando “le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali”.
Se vuoi conoscere il grado di privacy delle tue proprietà informatiche e se sono in linea con il nuovo GDPR 2018, puoi compilare il test di autovalutazione su gdpr.net e farti aiutare dagli esperti informatici e consulenti legali del team al fine di ottemperare alle nuove normative.