Il Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation) entrerà in vigore il 25 maggio 2018 e riguarderà tutte le aziende che trattano dati personali. Il regolamento si basa sul fatto che ogni azienda dovrebbe conoscere i pericoli odierni in termini di cyber risk e attacchi alla sicurezza informatica, e prendere coscienza che questa sfida implica nuove minacce.
Il GDPR sostituisce l’attuale Direttiva sulla Protezione dei Dati, che risale al 1995. I principi fondamentali in tema di privacy e protezione dei dati sono rimasti invariati, ma il nuovo regolamento tiene conto dei cambiamenti avvenuti negli ultimi anni nel mondo digitale e si applica in tutti gli Stati della UE. Gli aspetti più innovativi del GDPR rispetto alla precedente normativa sono tre: l’extraterritorialità, le sanzioni e il consenso.
Extraterritorialità. Le norme del GDPR proteggono i dati dei cittadini europei e si applicano a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati. Sono soggette al GDPR le aziende che offrono beni o servizi a individui residenti nella UE. Dunque se una azienda ricettiva trasferisce dati fuori dalla UE, come negli USA o in Sud America o ovunque, le organizzazioni che li elaborano dovranno rispettare il GDPR.
Consenso. Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. E’ responsabilità di chi raccoglie e gestisce i dati redigere termini e condizioni in un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso. E’ inoltre obbligatorio dichiarare come verranno elaborati i dati richiesti all’utente.
Sanzioni. Il GDPR introduce multe economiche per le aziende che non rispettano il regolamento, che possono ammontare fino al 4% del fatturato annuale globale o a 20 milioni di euro. Un’azienda è passibile di sanzione se, per esempio, non ha policy adeguate per il consenso al trattamento dei dati personali o se viola i principi alla base del concetto di “Privacy by Design”
Quest’ultimo implica che qualsiasi progetto vada realizzato considerando fin dal momento della progettazione, la riservatezza e la protezione dei dati personali. I principi definiti “fondazioni che” definiscono pienamente il senso di questa direttiva, sono:
- Proattivo non reattivo – prevenire non correggere
- Privacy come impostazione di default
- Privacy incorporata nella progettazione
- Sicurezza fino alla fine − Piena protezione del ciclo vitale
- Visibilità e trasparenza − Mantenere la trasparenza
- Rispetto per la privacy dell’utente − Centralità dell’utente
Le Aziende italiane sono in ritardo nella protezione dei dati personali? Secondo l’Osservatorio Security e Privacy solo il 27% delle imprese conosce gli obblighi della nuova normativa. Adeguarsi sarà necessario e bisognerà verificare la rispondenza ai requisiti dei Sistemi It e Infrastrutture di rete.
Il GDPR specifica quali sono le misure di sicurezza da adottare, ma chiede essenzialmente di “farle bene” e di poterlo dimostrare. Diventa cruciale il tema della responsabilità dei fornitori di servizi: al Responsabile esterno non basterà più dichiarare di rispettare le misure minime, ma sarà necessario dimostrare l’applicazione corretta dell’art.32.
Per gestire la road map di adeguamento al GDPR non bisogna ragionare in termini di “progetto” ma di un programma di attività che conduca ad un Sistema di Gestione della Privacy, tenendo ben presente che il nuovo paradigma è la reale protezione dei dati e non più la burocrazia.
Ecco le priorità:
- essere coscienti del proprio ruolo come titolare (o responsabile)
- riconsiderare l’organizzazione (serve un DPO?).
- agire in ottica di “privacy “dimostrabile”.
- prepararsi a gestire le richieste degli interessati e i data breach
- l’assessment del parco applicativo: applicare la privacy by design
Il DPO (Data Protection Officier) è previsto, dal GDPR, nei seguenti casi specifici:
- Quando il trattamento è effettuato da un’autorità – ente pubblico
- Quando il “core business” del Titolare o del Responsabile consiste di operazioni di trattamento, che richiedono il monitoraggio regolare e sistematico di interessati su larga scala
- Quando il “core business” del Titolare o del Responsabile consiste nel trattamento su larga scala di particolari categorie di dati personali o giudiziari
La materia è stata oggetto di una approfondita analisi e a dicembre del 2016 si sono avute le linee guida sul Responsabile della Protezione dei Dati (DPO). Le linee guida approfondiscono i casi di nomina obbligatoria del DPO, i concetti di “core business”, “larga scala”, “monitoraggio regolare e sistematico”, “conflitto di interessi” nonché le competenze e le conoscenze che la figura professionale del DPO dovrà possedere.
In particolare le linee guida evidenziano che il DPO dovrà possedere competenze e capacità direttamente commisurate al livello di complessità delle attività di trattamento poste in essere dal titolare o dal responsabile del trattamento.
Più in particolare il DPO dovrà essere un esperto della normativa europea in tema di data protection (GDPR), dovrà conoscere il settore in cui opera il titolare e la sua organizzazione, i processi e le operazioni poste in essere dallo stesso, nonché possedere competenze informatiche e di sicurezza. Ritengo che le strutture ricettive italiane, caratterizzate da alberghi individuali o piccoli cluster e multi property, non avranno la necessità (e non potrebbero comunque permetterselo) di un DPO interno e si potranno rivolgere, come previsto dal GDPR, ad un professionista o un’organizzazione esterna.
Nella seconda parte proporrò una riflessione sui possibili impatti nel mondo IT dell’applicazione del GDPR e sui conseguenti interventi da effettuare.
