Ultimamente avete sentito parlare di GDPR? Vi state chiedendo cosa implichi l’applicazione di questo acronimo che sta per General Data Protection Regulation?

Ecco qua tutte le informazioni di cui avete bisogno sulla nuova regolamentazione EU 2016/679.

In un mondo dove i dati rappresentano la vera ricchezza per le aziende molte sfide si pongono davanti alle istituzioni che devono regolare la gestione di questi dati. Questa trasformazione digitale ha immancabilmente aumentato esponenzialmente i rischi di sofisticati crimini cibernetici. L’Europa con questa nuova legge si conferma guida mondiale nella tutela della privacy dei cittadini e nella sicurezza dei loro dati.

Un pò di date

Con questa legge il parlamento europeo, la commissione europea e il consiglio dell’unione europea intendono proteggere i dati dei cittadini del vecchio continente e dare loro il diritto all’oblio. Questa direttiva va a sostituire la precedente legge 95/46/EC del 1995. Segnando in questo modo la maggiore svolta nella protezione dei dati in oltre 20 anni.

La General Data Protection Regulation è diventata legge il 27 aprile del 2016 dopo 4 anni di contrattazioni ed è stata pubblicata nel maggio dello stesso anno. Ma entrerà in vigore soltanto a partire dal prossimo 25 maggio 2018. Questi due anni nelle intenzioni dei legislatori dovrebbero essere serviti agli individui, alle aziende e alle istituzioni coinvolte in questo cambiamento per mettersi in regola.

L’importanza per i cittadini della General Data Protection Regulation

In un’economia sempre più digitalizzata e globalizzata dove il potere delle grandi aziende risiede nel possesso dei dati dei clienti è quanto mai cruciale la tutela di questi dati e la privacy dei cittadini.

Il tema è di quelli attuali e che maggiormente preoccupa i cittadini. Una ricerca condotta da KPMG International a livello mondiale ha stimato che il 55% dei consumatori ha abbandonato l’acquisto in rete a causa di preoccupazioni sulla privacy dei suoi dati. Inoltre solo circa il 10% si dice sicuro di avere un controllo sull’utilizzo che le aziende fanno di questi dati.

Oltre a salvaguardare i dati dei cittadini europei la legge ha anche un obbiettivo economico. Questa legge ha infatti il compito di armonizzare le regolamentazioni dei vari stati europei in modo da rendere più semplice per le aziende non-EU rispettare le regole.

A chi si applica la General Data Protection Regulation

La legge si applica a tutte quelle aziende o individui, europei e non, che raccolgono o processano dati appartenenti a cittadini europei. Stiamo parlando quindi, oltre alle aziende europee, anche delle aziende che non hanno nessuna presenza fisica su suolo EU, ma che entrano in relazione con i dati di cittadini europei.

Un breve elenco chiarirà meglio questo aspetto:

  • Tutte le aziende che vendono servizi o beni a cittadini Europei.
  • Le aziende in possesso di un sito internet dotato di tecnologie per la raccolta dei dati come i cookies.
  • Tutte le aziende che hanno un impiegato residente nell’unione europea.
  • Quelle che collezionano ogni sorta di dato relativo a cittadini europei.

Da ciò appare evidente come la direttiva riguardi la quasi totalità delle aziende. I dati ritenuti sensibili sono quelle informazioni relative alla vita pubblica o privata dell’individuo.

In parole più semplici questa legge si applica a qualsiasi informazione, come ad esempio un nome, un indirizzo, una foto, un indirizzo e-mail e così via. Come prevedibile la legge non si applica a quelle istituzioni deputate alla sicurezza nazionale. Ma essa contiene ferree linee guida sullo scambio di informazioni fra le forze di sicurezza dei vari paesi.

Ogni stato europeo è vincolato a istituire una propria istituzione deputata al controllo del rispetto di questa normativa e a provvedere sanzioni in caso di mancato rispetto. Ognuna di queste istituzioni nazionali sarà inoltre chiamata a collaborare con le pari di altri paesi.

Vediamo adesso cosa prevede in concreto questa normativa.

Le regole

Notifica obbligatoria della violazione

Questa disposizione prevede per le organizzazioni che a qualunque livello gestiscano dati di cittadini europei in caso di violazione dei loro database – che comporti un “rischio per i diritti delle persone” – l’obbligo di notificare la violazione all’autorità di supervisione del proprio paese entro le 72 ore. Nella notifica le aziende saranno obbligate a dichiarare i particolari dell’accaduto, le cause e le conseguenze. Nel caso in cui la violazione comporti per l’individuo un rischio “elevato” l’organizzazione dovrà impegnarsi a comunicare la violazione anche al diretto interessato.

La sanzione

Per chi non dovesse rispettare questa direttiva sono previste sanzioni che possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato annuo dell’azienda.

Un passo cruciale di questa nuova regolamentazione impone alle aziende di rendere facile per l’individuo proprietario dei dati personali revocare il diritto di raccogliere i dati stessi.

Il diritto all’oblio

Il cittadino europeo ha inoltre “diritto all’oblio”, vale a dire alla cancellazione dei suoi dati dai database delle aziende che ne sono in possesso.

Mancanza di consapevolezza

Ma cosa sanno le aziende sul Gdpr? Analizzando i risultati di uno studio commissionato da Ntt Security a Vanson Bourne la risposta pare ovvia… molto poco. Fra i 1350 manager aziendali intervistati durante questo studio condotto in 11 paesi dell’Unione Europea solo il 25% circa del campione ritiene che la propria azienda sarà in qualche modo interessata da questo cambiamento. Il 20% dichiara invece di non essere a conoscenza delle normative che regolano il trattamento dei dati della propria azienda.

Non meno preoccupante è il quadro registrato fuori dai confini del vecchio continente. I dati parlano solo di un 20% di manager statunitensi, di un 26% di quelli australiani e di un 29% di quelli di Hong Kong che ritengono che questa normativa riguardi la loro azienda.

Eppure questa legge impone alle aziende implicazioni di non poco conto. In molti casi saranno infatti necessari cambiamenti nel flusso di elaborazione dei dati, nella struttura organizzativa, nei processi aziendali e nelle tecnologie informatiche.

Da un punto di vista tecnologico il GDPR non indica in maniera dettagliata quali tecnologie debbano essere utilizzate. Questo a causa della rapida trasformazione e sviluppo di questo tipo di tecnologie che renderebbe la legge rapidamente obsoleta. Oltre alle precauzioni più classiche come la cifratura dei dati e la pseudonimizzazione il GDPR usa il termine “adeguato”. Ciò vuole sottolineare la necessità da parte dell’azienda di valutare costantemente il rischio di intrusione nei propri sistemi e la necessità di costante aggiornamento nelle tecnologie di sicurezza.

I diritti degli individui

Il General Data Protection Regulation ribadisce la proprietà dei dati personali da parte dell’individuo. Facendo ciò sono sostanziali i diritti che i cittadini europei possono rivendicare. Vediamoli nel dettaglio:

–       Consenso informato: Il cittadino europeo ha diritto ad essere informato sullo scopo della raccolta dei suoi dati personali e sulla modalità del loro utilizzo. Il consenso al trattamento dei suoi dati deve essere rilasciato in modo esplicito e deve poter essere ritirato in qualsiasi momento.

–       Diritto di accesso: Il cittadino europeo ha inoltre il diritto di accedere gratuitamente ai dati di sua proprietà raccolti dall’organizzazione.

–       Possibilità di correggere i dati: Il diritto a correggere i dati di sua proprietà se essi risultano inaccurati.

–       Diritto all’oblio: Il cittadino europeo ha diritto a richiedere in ogni momento la cancellazione dei propri dati dai database dell’organizzazione.

–       Diritto alla portabilità: Il diritto di recuperare i propri dati e riutilizzarli ai propri scopi.

Retailer e GDPR: cosa cambia?

Retail Express poll ha diffuso uno studio nel quale afferma che 4 retailer su 5 credono che il GDPR in vigore a partire da maggio 2018 non avrà impatti su di loro. La realtà però è molto diversa. Sotto questa regolamentazione i retailer che gestiscono dati di cittadini europei sono vincolati ad assicurare la sicurezza dei dati dei loro consumatori e dei loro impiegati e ad informarli circa il trattamento e le finalità della raccolta dei dati stessi.

Anche se la quantità di dati gestiti è di piccola entità ogni dipendente o cliente può, nel caso in cui la legge non venga rispettata, muovere un’azione legale contro l’azienda che ha trattato i suoi dati in maniera non conforme alla direttiva.

Un caso di trattamento non conforme alla legge potrebbe essere quello della condivisione di questi dati internamente o esternamente all’azienda senza il consenso dei legittimi proprietari.

Alcune attività che consigliamo ai retailer sono le seguenti:

  1. Adottare password di sicurezza
  2. Non condividere dati di clienti e impiegati con altre aziende
  3. Chiedere al proprio fornitore di sistemi di pagamento la garanzia di non essere a rischio.
  4. Cancellare tutti i dati inutili e che non siete autorizzati a gestire