Uniformarsi al GDPR

Il 25 maggio ha rappresentato la data del cambio di passo sulla protezione dei dati nel senso più ampio del termine.

È entrato in vigore il Regolamento (UE) 2016/679 del Parlamento europeo, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali noto con il già famoso acronimo di GDPR.

Le finalità del Regolamento è quello di proteggere tutti i cittadini Europei dalle violazioni dei dati in un mondo articolato e molto diverso rispetto alla precedente direttiva 95/46/CE.

Questo Regolamento probabilmente è il più importante cambiamento nel panorama normativo della riservatezza dei dati in quanto si applica a tutte le società europee ed extra europee che gestiscono dati di cittadini europei.

Il giorno dopo l’entrata in vigore, abbiamo immediatamente assistito ad alcune azioni legali nei confronti dei maggiori colossi mondiale che gestiscono i nostri dati personali.Un paio di organizzazioni si sono subito mosse contro Facebook, Instagram e WhatsApp tramite una class action sulla privacy con potenziali sanzioni che arrivano oltre i 4 miliardi di dollari. Un’altra denuncia del valore di € 3,7 miliardi è stata presentata dalla CNIL francese nel caso del sistema operativo Android di Google.

La sicurezza è uno dei temi preponderanti negli oltre 90 articoli del Regolamento e queste class action pongono le loro basi proprio sul concetto della sicurezza che deve essere garantita.

La nuova norma ha creato molto fermento ed interesse in tutti i settori aziendali. Anche le aziende svizzere che lavorano con l’Unione Europea e quindi hanno archiviato dati di cittadini europei dovranno necessariamente adeguarsi al nuovo Regolamento anche se non in vigore nella Confederazione.

Come dicevo la sicurezza è preponderante e questo Regolamento rispetto alla precedente direttiva sulla privacy ha un altro cambiamento sostanziale. Sono le aziende che devono dimostrare di aver messo in atto tutte le misure di protezione e dimostrare di essere compliance ovvero garantire che ila gestione dei dati avviene in forma sicura.

Viene specificato infatti che tutte le operazioni di protezioni dei dati devono essere fatte by default ovvero dai sistemi esistenti ma anche by design ovvero tramite un approccio di progettazione e di messa in sicurezza sin dalla fase iniziale del processo gestionale dei dati.

Occorre dunque sostenere le aziende che devono regolamentare la protezione dei propri dati come imposto dal GDPR, con un’analisi dettagliata delle vulnerabilità dei dati e una valutazione globale del livello di sicurezza dei sistemi ICT del cliente.

Il GDPR recita di realizzare una procedura atta a “testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento dei dati”.

Testo a cura di Carlo Del Bo
Executive Advisor
Gruppo Sicurezza SA
Via Cantonale 20
6942 Savosa
Tel. +41 91 935 90 50
Fax  +41 91 935 90 59
www.grupposicurezza.ch

 

La Cc-Ti continuerà ad approfondire il tema del GDPR e della digitalizzazione. Lo ha già fatto con un Networking Business Breakfast, e  in autunno, seguiranno molte proposte formative puntuali sull’argomento comunicazione d economia digitale, che stiamo programmando.