Ormai un anno fa è entrato in vigore il regolamento europeo per la protezione dei dati personali, che ha richiesto uno sforzo non indifferente alle aziende affinché si allineassero alle nuove regole. Volto a tutelare i cittadini e la loro privacy, il GDPR ha voluto istituire un nuovo standard per il trattamento dei dati, i quali prima venivano gestiti in modo autonomo e non regolamentato dalle aziende.

Multe e sanzioni sono dietro l’angolo per chi non rispetta le nuove norme, e non sono affatto leggere. Possono infatti raggiungere fino al 4% del fatturato aziendale, fino ad un massimo di 20 milioni di euro. È importante quindi informarsi sulle nuove leggi ed essere in regola, applicando un nuovo modello di gestione dei dati.

GDPR: che cosa implica

Il regolamento UE 2016/679, o GDPR, regolamenta il trattamento e la libera circolazione dei dati personali. In particolare, nasce da esigenze giuridiche e legate alla maggiore semplicità delle norme riguardanti il trasferimento dei dati, sia tra aziende che dall’UE verso altre parti del mondo. Col nuovo regolamento sono stati inseriti nuovi diritti per i dati digitali degli utenti, e nuove norme nel caso di violazioni di dati (data breach). In particolare, per quest’ultimo punto, l’esigenza è nata da diverse mancanze e limiti degli stati dell’unione. Prima del GDPR mancava una lista di referenti (“point of contact“) dei singoli stati membri nel caso di una violazione: ciò causava problemi in termini di comunicazione e tempestività di azione in caso di urgenze.

Il contenuto del regolamento ha dato molta importanza all’istituzione di autorità statali sovrintendenti che devono essere in grado di comunicare agilmente tra di loro, organizzando eventualmente operazioni congiunte. Uno degli aspetti più interessanti rimane però il consenso obbligatorio ed esplicito da parte delle aziende al momento della raccolta dei dati, con una chiara definizione dei propositi per cui saranno utilizzati. Attualmente quindi è necessario specificare ogni fine del trattamento dei dati ogni qualvolta un privato si trovi di fronte al doverli fornire ad un’azienda o ad un professionista. Le finalità, ovviamente, per poter richiedere il consenso, devono essere legittime e pertinenti all’ambito di richiesta.

I principali punti della gdpr.

I principali punti della gdpr. Credits: ilsole24ore.com

Si richiede inoltre che per i dati raccolti siano attivate misure tecniche e organizzative idonee per garantirne la sicurezza. I gestori dei dati devono essere appositamente istruiti. Per garantire la sicurezza, alcune misure sono suggerite all’interno del regolamento, quali la pseudonimizzazione e la cifratura. I dati, oltre ad essere protetti, devono poter essere acceduti in maniera tempestiva e in qualsiasi momento, e l’azienda ha l’obbligo di cancellarli se il soggetto a cui fanno riferimento lo richiede.

I dati, inoltre, devono poter essere trasferiti in qualsiasi momento su richiesta del soggetto, da un sistema elettronico ad un altro, senza impedimento. Il controllore dei dati deve inoltre definire un programma di monitoraggio e test di sicurezza dei sistemi sui quali i dati sono mantenuti.

Cosa è successo finora

A un anno dall’entrata in vigore è interessante fare un bilancio su come è stata la risposta al regolamento. E così Gartner rivela che su 10 privacy manager solo 4 sono fiduciosi sul processo di adeguamento al GDPR. Un numero che va contro l’idea di sicurezza e coerenza che voleva fornire il regolamento.

Per quanto riguarda la comunicazione delle violazioni, che dovrebbe essere obbligatoria secondo le nuove norme, fino al 31 Marzo sono state registrate 946 violazioni denunciate. Rimangono numerose quelle non comunicate.

Alcune delle sfide percepite dalle aziende.

Alcune delle sfide percepite dalle aziende. Credits: superoffice.com

Lato utenti si è registrata una insoddisfazione generale non da poco. Nonostante gli avvertimenti via mail delle diverse organizzazioni, non si è ancora percepito un effettivo cambiamento, in quanto le attività di marketing continuano a profilare dati senza rispettare sempre le norme e senza essere esplicite riguardo i diritti dell’utente.

Molte sono anche le critiche mosse alle modalità di accettazione. Per quanto riguarda i cookies e il tracciamento online, infatti, un semplice click per autorizzare la raccolta e diffusione dei dati di tracciamento è considerato poco “sofisticato” e superficiale.

X