Il GDPR, General Data Protection Regulation, è il regolamento europeo che definisce i requisiti su come le aziende dovrebbero trattare i dati personali. In Italia il Dlgs 101/18 adegua il codice in materia di protezione dei dati personali (Dlgs 196/03) alle disposizioni del GDPR, Reg CE 679/16.
Come spiega sistemieconsulenze.it, che eroga sul territorio nazionale servizi di consulenza, formazione e certificazione in ambito di sicurezza dati, informazioni e sulla privacy, i requisiti definiti dal GDPR definiscono e richiedono una base sistemica di valutazione dei rischi e gestione della protezione dei dati personali.
Il GDPR stabilisce le responsabilità delle organizzazioni per garantire la protezione dei dati personali, diritti ai proprietari del dato, poteri di autorità e responsabilità, nonché regimi sanzionatori.
Ci vorrà del tempo per assorbire e comprendere adeguatamente la nuova visione sistemica del dato, soprattutto per la mutevole velocità con cui vengono modificate le metodiche di scambio e gestione degli stessi.
Altro aspetto importante di questo periodo di attuazione sarà sicuramente quello di stabilire dei livelli di rischio rispetto alla qualità ed alla quantità del dato trattato.
I 10 punti chiave del GDPR
Vediamo quelli che sono i punti chiave del regolamento europeo GDPR:
- Trattamento. Le organizzazioni che trattano dei dati personali sono invitate a trattare i dati personali in modo lecito, ovvero che tutti i trattamenti dati dovrebbero essere basati su uno scopo legittimo, equo, tramite assunzione di responsabilità e trattamento per scopi legittimi, trasparenza, informando gli interessati sulle attività di trattamento dei loro dati personali.
- Finalità e conservazione. Le organizzazioni devono limitare il trattamento, raccogliere solo i dati necessari e non conservare i dati personali una volta che lo scopo del trattamento è stato completato. Ciò porterebbe effettivamente ai seguenti requisiti:
- vietare il trattamento dei dati personali al di fuori dello scopo legittimo per il quale i dati personali sono stati raccolti;
- non richiedere dati personali, oltre a quelli necessari;
- richiedere il cancellamento dei dati personali ad scopo assolto;
- Diritti dell’interessato. Gli interessati hanno il diritto di richiedere informazione all’azienda in merito ai dati in possesso all’organizzazione, ai loro scopi, avendo diritto di rettifica, opposizione al trattamento, richiesta di cancellazione e trasferimento;
- Valutazione di impatto. Le organizzazioni dovranno effettuare una valutazione di impatto sulla protezione dei dati personali. Questa sarà fondamentale per mettere in atto delle azioni necessarie alla protezione stessa;
- Privacy by Design. Le organizzazioni devono mettere in atto dei sistemi atti alla protezione dei dati personali in ogni fase del processo. Azioni fuoriuscite dalla valutazione di impatto;
- Violazioni dei dati personali. Deve essere implementato un sistema di comunicazione, e tracciabilità delle comunicazioni, all’interessato in caso di perdita dei dati, perdita ed hackeraggio, dello stesso. Ed al garante;
- Consenso. Per tutti gli scopi di utilizzo dei dati personali le organizzazioni dovranno richiedere il consenso diretto e specifico per ogni utilizzo;
- Trasferimenti di dati. Il titolare del trattamento dei dati personali aziendali ha la responsabilità di garantire che gli stessi siano protetti e che i requisiti GDPR siano assolti, anche se il trattamento è svolto da una terza parte;
- Responsabile della protezione dei dati. Le organizzazioni devono nominare un responsabile della protezione dei dati. Questo avrà la responsabilità del trattamento ed assieme al DPO, Data Protection Officer, saranno di ausilio e consiglio per la valutazione gestione per il titolare del trattamento;
- Consapevolezza e formazione. Come in ogni campo le figure aziendali devono essere adeguatamente formate e devono avere consapevolezza del proprio ruolo e responsabilità in merito alla protezione dei dati personali.
La certificazione ISO 27701
C’è spesso confusione nel pensare che il sistema sicurezza dei dati e delle informazioni, secondo la norma di certificazione ISO 27001, sia fondamentale per la privacy. Benché i requisiti richiesti dal sistema forniscano all’organizzazione una base solida di analisi e gestione dei dati.
Questi ultimi non si riferiscono ai dati personali, ma ai dati ed alle informazioni in genere. Quindi un’organizzazione che sia certificata secondo la norma ISO 27001, non è detto che sia in compliance con il GDPR.
In questo contesto, sempre della famiglia delle norme della serie ISO 27001, è nata la norma di certificazione ISO 27701 che si occupa di dettare i requisiti di compliance per le organizzazioni nei confronti del GDPR.
