GDPR: General Data Protection Regulation

GDPR: GENERAL DATA PROTECTION REGULATION

A partire dal 25 maggio 2018 è diventato obbligatorio in tutti gli Stati membri della UE il Regolamento 2016/679, noto anche come GDPR (General Data Protection Regulation), che prevede prescrizioni, con riguardo al trattamento e alla libera circolazione dei dati personali delle persone fisiche.

INTERVISTA A GUIDO ALLEGREZZA SUL REGOLAMENTO GDPR

Trust Technologies è un Qualified Trusted Service Provider: opera cioè, in conformità al regolamento UE 910/2014 (eIDAS), per i servizi di Firma Digitale, Marca Temporale e Posta Elettronica Certificata, ma anche Fatturazione Elettronica e Rilascio di Certificati SSL per la protezione dei siti Web. Abbiamo chiesto a Guido Allegrezza, Responsabile della Compliance di Trust Technologies, come la società abbia affrontato e gestito il nuovo scenario normativo.

IL GDPR PER UN FORNITORE DI SERVIZI

Trust Technologies pensa che la sicurezza sia un sistema sempre operativo e funzionante e non un insieme di regole cui adempiere compilando check-list o emettendo documenti che poi nessuno legge. Prepararsi e varare gli interventi di attuazione del GDPR è stata una nuova opportunità di riflessione e di crescita.

GDPR: COMPLESSITA’

Nel mondo dei Qualified Trust Service Provider, gli schemi di riferimento tecnico e normativo sono talmente complessi e collegati fra loro che una modifica in un senso porta necessariamente con sé impatti sulle altre parti del sistema.

GDPR: CONCETTO DI ACCOUNTABILITY

L’elemento centrale che la nuova regolamentazione privacy europea introduce è il concetto di “accountability”, ovvero la capacità di dimostrare la conformità al Regolamento e l’adozione delle misure di sicurezza individuate con un approccio “risk based”, in relazione ai diritti e alla libertà dei cittadini dell’UE.

ADEGUAMENTO AL GDPR

Forti della nostra abitudine a lavorare in termini di compliance tecnica e normativa, abbiamo impostato e varato il nostro programma di adeguamento al GDPR con un approccio sistematico.  Sono stati coinvolti gli aspetti legali, organizzativi, procedurali e tecnologici. Abbiamo rivisto i nostri processi operativi per individuare e delineare i trattamenti dei dati personali e le loro finalità, verificare il livello di rischio legato alle attività in corso (un processo che svolgiamo ogni anno nell’ambito della certificazione ISO27001). E ancora, abbiamo rivisitato gli aspetti organizzativi per assicurare il corretto funzionamento di un sistema di gestione per la protezione dei dati (ruoli, responsabilità, misure di sicurezza relative agli aspetti fisici, tecnici, organizzativi e legali).

GDPR: NOVITA’

Vi sono altri aspetti di novità che introduce il GDPR e che rafforzano e consolidano la disciplina fondata sul Codice Privacy:

Privacy by default e by design

Non si deve effettuare un trattamento di dati personali fintanto che l’intero sistema di protezione non sia già stato definito e messo in atto. Ciò vuol dire che l’approccio al trattamento dei rischi in materia di privacy deve essere parte del processo di progettazione di un sistema o di un applicativo.

Privacy impact assessment

Quando un trattamento può presentare un rischio elevato, per i diritti e le libertà delle persone fisiche, prima di attuarlo è necessario valutarne l’impatto sulla protezione dei dati considerandone tutti gli aspetti di rilievo al fine di mettere in campo le misure necessarie ad affrontare i rischi derivanti e verificando, in sostanza, se esso è conforme alla normativa.

Data Protection Officer

È una figura che deve essere nominata quando i trattamenti sono svolti da un soggetto pubblico, oppure su larga scala, o riguardano categorie particolari di dati (compresi quelli relativi a condanne e reati). Il suo è un ruolo di terzietà, consulenza e rappresentanza, dedicato a verificare e mantenere nel tempo l’attuazione del Regolamento.

Data Breach Management

È un sistema di regole e di procedure per assicurare l’applicazione delle procedure previste: dalla segnalazione, alla risoluzione, alla corretta gestione di eventuali violazioni dei dati personali (data breach) in caso di distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o trattati.

Diritti dei cittadini

Il Regolamento estende e rinforza i diritti dell’interessato, stabilendo diritti fondamentali come quello all’accesso ai dati trattati e alle informazioni connesse, all’oblio e alla loro consegna. Si tratta in gran parte di diritti connessi con lo sviluppo delle piattaforme social, ma che hanno impatti anche sui servizi più tradizionali.

CODICE PRIVACY NON PIU’ APPLICABILE

Infine, dobbiamo ricordare che il GDPR prevede spazi di manovra da parte del Legislatore nazionale. In Italia, il Governo avrebbe dovuto adottare entro il 21 maggio 2018 i decreti legislativi necessari ad armonizzare la normativa italiana al GDPR. Ad oggi, la delega non è stata ancora esercitata ed il termine per l’adozione del decreto è slittato al prossimo 21 agosto 2018, con la conseguenza che l’intero Codice privacy, per la parte in contrasto col GDPR, non può più essere applicato dopo lo scorso 25 maggio 2018”.

About the Author:

Leave A Comment