Autorità e normativeSicurezzaSorveglianza

Regolamento Ue sui dati personali: l’attesa è finita

Approvato il nuovo regolamento per la protezione dei dati nella UE
0 0

A fine maggio 2018 entrerà ufficialmente in vigore il Regolamento Ue sul trattamento dei dati personali. Ecco qualche informazione in più per non essere impreparati il prossimo anno

Il regolamento europeo 2016/679 sulla protezione dei dati è stato approvato in via definitiva il 14 aprile 2016 e pubblicato il 4 maggio 2016 sulla Gazzetta Ufficiale dell’Unione Europea ed entrerà ufficialmente in vigore il 25 maggio 2018. Sembrerebbero molti mesi ma sono  pochi se solo si pensa al carico di lavoro che le imprese dovranno fare per adeguarsi, considerando che, a oggi, solo il 9% delle stesse ha già strutturato un progetto e solo il 46% hanno in corso un’analisi dei requisiti richiesti. Sono queste alcune indicazioni che sono emerse dalla ricerca dell’Osservatorio Security & Privacy sull’applicazione del General Data Protection Regulation (GDPR), in Italia presentata durante il convegno “Il Nuovo Regolamento Europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza”.

Gabriele Faggioli, responsabile scientifico dell'Osservatorio Security & Privacy del Politecnico di Milano
Gabriele Faggioli, responsabile scientifico dell’Osservatorio Security & Privacy del Politecnico di Milano

Il GDPR è già realtà per gli Stati membri, ma si applicherà dopo due anni dalla data dell’entrata in vigore, in modo che i soggetti destinatari possano compiere tutte le azioni necessarie per mettersi in regola. L’Osservatorio Security & Privacy del Politecnico di Milano ha svolto una ricerca tra settembre e novembre 2016 su come le imprese si stanno organizzando per adempiere agli obblighi derivanti dall’applicazione del General Data Protection Regulation, indagando la consapevolezza sulla normativa, il budget dedicato alle azioni, i cambiamenti organizzativi in atto e le azioni effettivamente realizzate.

Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano, spiega che nel “1996 si introdusse il concetto di tutela dei dati personali e si iniziò a sottolinearne una certa valenza educativa con comprensione del problema. Ma non era una normativa immune dai difetti, era una norma che aveva fondamenta su uno stadio sperimentale. Successivamente nel 2008 ci fu il passaggio a plasmare la norma, cosa che poi ha portato a questo regolamento europeo, ma ancora aveva qualche difetto come lo scarso approccio al ramo tecnologico e l’incapacità di essere applicata in modo ragionevole sulle tecnologie. Con il regolamento Ue si inizia a parlare in chiave di logica sistemica e capacità di dimostrare le scelte. Con la nuova normativa resta simile il trattamento del dato personale come principio di base su correttezza, utilità, finalità originariamente dichiarati: si pensi solo ai Big Data e alla valenza che ne potrebbero avere”, spiega Faggioli.

Approvato il nuovo regolamento per la protezione dei dati nella UE
Approvato il nuovo regolamento per la protezione dei dati nella UE

Antonio Caselli dell’Autorità Garante per la protezione dei dati personali, ha precisato che il regolamento è proattivo, di prevenzione, di intervento ex ante e poi di responsabilizzazione e di valutazione del rischio, che sono due pilastri fondamentali e la vera novità: dare un valore aggiunto come parte integrante di un processo. Ci sono alcuni diritti nuovi come l’oblio e la portabilità come slogan importanti per la volontà di mettere al centro le persone e poi elemento forte è l’europeizzazione delle procedure e dei processi, tutto il regolamento ha una visione impostata a uniformità europea di regole e imparare ad agire in modo più concertato perché il regolamento prevede tanti spazi di modificabilità.

“Due sfide”, spiega Caselli. “Non vogliamo che l’applicazione del regolamento si traduca in una visione burocratica, anche perchè il regolamento non lo consente e dovremmo valorizzare le novità, anche alla luce del passato, come per esempio la possibilità di trasformare alcuni criteri emersi in questi anni nei criteri preliminari che ora è obbligo e con il regolamento non lo sarà più. Altra sfida importante è avere uno sportello unico per interagire con omologhi in altri paesi, noi siamo co-decisori e non decisori ultimi, perchè in caso di trattamento tansfrontaliero con impatto in più paesi europei esiste un’autorità permanente che lavorerà anche sulle sanzioni”.

Per quanto riguarda l’applicazione del regolamento alle Pmi, Caselli ha spiegato che sarà applicato con l’elasticità che prevede. “Per esempio – spiega – la possibilità per l’autorità di controllo nazionale di fare la lista dei trattamenti che non sono soggetti a valutazione di impatto, poi si deve valorizzare l’istituto del codice deontologico e della certificazione”, spiega.

Per saperne di più leggi anche questi articoli:

Nuove norme Ue per la protezione dei dati personali

GDPR, come riconoscerne le criticità nei processi in azienda

Privacy, due aziende su tre non rispettano il Regolamento Ue

Regolamento Ue: La sicurezza informatica non riguarderà più solo i dipartimenti It

Regolamento Ue su dati personali: occhio alle sanzioni

Dati sicuri nel rispetto della nuova normativa europea

GDPR: Aziende! Occhio al Dpo, vi darà filo da torcere

Caselli (Garante Privacy): Attenti alle sanzioni, insidie ovunque

Caselli (Garante Privacy): Aziende attrezzatevi in fretta