Il GDPR (General Data Protection Regulation), in vigore dal prossimo 25 maggio 2018, ha l’obiettivo di tutelare e proteggere in modo più efficace i dati personali dei cittadini residenti sul territorio europeo.
Come vedremo nei prossimi paragrafi, le imprese interessate dalla direttiva sono numerose e tra queste rientrano anche gli ISP come Hosting Solutions, azienda già certificata UNI EN ISO 9001 ed ISO/IEC 27001 e pronta a recepire tutte le disposizioni del GDPR in materia di trattamento, protezione ed archiviazione dei dati personali.
Ma che cosa si intende esattamente per dati personali? Lo spiega il sito ufficiale del GDPR:
“Qualsiasi informazione correlata ad un individuo […] che possa essere usata per identificare direttamente o indirettamente una persona. Può trattarsi di qualsiasi cosa, un nome, una foto, un indirizzo email, informazioni bancarie, post nei social network, informazioni sanitarie, l’indirizzo IP di un computer”.
La altre due parole chiave da approfondire sono regolamentazione (regulation) e direttiva (directive):
“una regolamentazione è un atto legislativo vincolante. Deve essere applicato nella sua interezza in tutta l’UE. […] Una direttiva è un atto legislativo che stabilisce gli obiettivi che i Paesi UE devono raggiungere. Tuttavia, spetta ad ogni singolo Stato decidere come [raggiungerli]. E’ importante sottolineare che il GDPR è una regolamentazione, rispetto alla precedente legislazione che è una direttiva”.
Il GDPR rappresenta in tutto e per tutto una revisione ed ampliamento della precedente legislazione (Direttiva 95/46/CE del Parlamento europeo). Tra le criticità di quest’ultima l’impossibilità di applicare le regole ad organizzazioni con sede al di fuori dei confini europei. Il GDPR interesserà invece qualsiasi soggetto “che gestisce e trattiene i dati personali di individui residenti nell’Unione europea, indipendentemente dalla sede della compagnia [e] da dove avvenga il processamento dei dati”.
A tal proposito è importante citare due nuove figure definite dal GDPR, il data controller ed il data processor. Il primo è “un’entità che determina le finalità, le condizioni ed i mezzi per il processamento dei dati personali; il secondo è l’entità che si occupa di processare i dati per conto del data controller.
I controller devono impegnarsi a minimizzare l’utilizzo dei dati (solo lo stretto necessario all’esecuzione dei loro impegni) e ad attenersi al concetto di privacy by design: i sistemi, piuttosto che implementare successivamente misure volte a tutelare e proteggere i dati personali, dovranno essere progettati tenendo a mente tale princìpio.
Da citare infine il ruolo del data protection officer (DPO) che sarà allo stesso tempo consulente, vigilante dei processi di trattamento e elemento di raccordo tra i titolari del trattamento stesso e l’Autorità Garante della privacy.
Semplificazioni e nuovi diritti
“L’accordo di licenza con l’utente finale” (EULA) è ben noto a tutti ed è costituito da una serie di condizioni che occorre accettare per poter usufruire di un determinato servizio/software. Tra i vari punti anche quelli legati alla raccolta e trattamento dei dati dell’utente. Il GDPR snellisce notevolmente le modalità di richiesta del consenso imponendo dei paletti alle imprese:
“le compagnie non saranno più in grado di utilizzare termini di difficile comprensione e condizioni [caratterizzate da un registro giuridico] perché le richieste di consenso dovranno essere fornite [all’individuo] in [un formato] semplice e comprensibile, unitamente alle finalità di raccolta dei dati [che saranno allegate a tale richiesta]. Il consenso deve essere chiaro e distinguibile da altre [questioni contrattuali] e va [esplicitato utilizzando] un linguaggio semplice e chiaro. [Il ritiro del consenso deve essere facile quanto l’accettazione]”.
Tra gli altri diritti del cittadino anche la notifica tempestiva circa eventuali furti di dati (data breach), definiti come un potenziale rischio per i diritti e la libertà degli individui. All’obbligo di notifica dovranno attenersi tutti gli stati membri. I data processor, una volta scoperto il furto, dovranno informare immediatamente i clienti ed i data controller.
I cittadini potranno inoltre richiedere ai data controller: una copia dei propri dati personali in formato elettronico, con la possibilità di spostarli presso un altro controller (data portability); dove e se una determinata tipologia di dati sia processata o meno e con quali finalità; la cancellazione dei dati in caso di ritiro del consenso (il cosiddetto diritto all’oblio) o nel caso non siano più rilevanti per le finalità di raccolta dei dati allegate alle richieste di consenso.
Fonte: 1