Regolamento generale sulla protezione dei dati (GDPR): cos’è?

Dopo anni di incontri e regole sulla gestione dei dati che hanno causato mal di testa nelle varie nazioni dell’Unione europea. Nel 2016 l’UE ha approvato il regolamento generale sulla protezione dei dati (conformità GDPR) per semplificare le cose in tutti gli Stati membri. Il GDPR mira a proteggere i dati di tutti i residenti dell’UE e agevola le organizzazioni a comprendere e rispettare le norme sulla protezione dei dati. Sebbene il GDPR sia stato ufficialmente adottato nel 2016, la sua data di attuazione ufficiale è il 25 maggio 2018, dando agli Stati membri circa due anni per conformarsi.

Se gestisci i dati personali di qualsiasi cittadino dell’UE, dovrai rispettare i Regolamenti generali sulla protezione dei dati, anche se la tua organizzazione non ha una sede nell’UE. Il rischio è di essere colpito con multe salate, fino al 4% del fatturato annuale della tua azienda o fino a 20 milioni di euro, a seconda di quale sia il più alto.

Punti chiave del GDPR

Privacy per design

L’obiettivo del GDPR è proteggere i dati personali dei cittadini dell’UE, inclusi dati quali nome, indirizzo e-mail, dati finanziari o medici e persino il loro indirizzo IP. In quanto tale, un componente chiave del GDPR è la creazione immaginare la privacy come punto di partenza di ogni sistema.

Custodia dei dati

Le migliori regole sulla custodia dei dati sono anche parte del regolamento generale sulla protezione dei dati. I regolamenti impongono alle organizzazioni di conservare solo i dati di cui hanno assolutamente bisogno e solo per il tempo necessario. Una volta che i dati non sono più necessari, i dati dovrebbero essere distrutti o resi anonimi.

Diritto all’oblio

Basandosi sul concetto di “diritto all’oblio”, introdotto in una causa del 2006 contro Google, il GDPR include il diritto alla cancellazione dei dati. Ciò significa che gli utenti possono richiedere la cancellazione dei propri Dati personali da un’organizzazione per qualsiasi motivo, compresa la sospetta non conformità al GDPR. Inoltre, per il trattamento dei dati personali è richiesto il consenso esplicito, che deve essere fornito liberamente. Le organizzazioni devono fornire agli utenti la stessa facilità di ritiro del consenso qualora l’utente desideri farlo.

Requisiti di notifica di violazione

Oltre ai requisiti relativi alla protezione dei dati degli utenti, il GDPR include anche regole di notifica delle violazioni dei dati obbligatorie e rigorose. In caso di violazione dei dati personali, questa deve essere segnalata all’Autorità di vigilanza degli Stati membri interessati entro 72 ore dalla scoperta. A seconda della gravità della violazione dei dati, l’organizzazione potrebbe dover notificare anche gli utenti interessati.

Considerazioni per diventare conforme GDPR

Comprendi la tua rete e l’ambito dei dati che hai

Assicurati sotto controllo l’ambito dei dati che la tua organizzazione detiene. Chi può accedervi e che tipo di dati si tratta? Una volta che hai un’idea dell’ambito, puoi iniziare a implementare i limiti di accesso ed il monitoraggio per assicurarti che non vi siano accessi non autorizzati.

Valuta la forza dei controlli e dei programmi

Dovrai testare e valutare l’efficacia di eventuali controlli e programmi di sicurezza critici attualmente in atto. Non solo la tecnologia, ma anche le persone ed i processi. Assicurati di verificare regolarmente vulnerabilità e punti deboli e di colmare eventuali lacune.

Formalizza e pratica i processi di notifica

Nessuno vuole che si verifichi una violazione dei dati, ma è meglio essere preparati per lo scenario peggiore con largo anticipo. Mettere in atto un processo di notifica della violazione dei dati formalizzato ed effettuare alcune prove per accertarsi che includa funzionalità di rilevamento e risposta agli incidenti.

Il regolamento generale sulla protezione dei dati verrà implementato formalmente il 28 maggio 2018 e le organizzazioni interessate dovranno iniziare a procedere verso la conformità il prima possibile. Non è mai una cattiva idea evolvere continuamente le tue procedure di sicurezza, specialmente quando si tratta di dati personali.