Intervistiamo Daniele Giomo, esperto di informatica forense e Data Protection Officer presso Easyinformatica di Balerna, per parlare di trattamento dei dati sensibili e del GDPR (General Data Protection Regulation) ossia il Regolamento generale sulla protezione dei dati che a breve entrerà in vigore
La sicurezza è fondamentale per garantire l’operatività delle aziende moderne, il GDPR interviene certamente in questo senso. Ci puoi spiegare di cosa si tratta e quando entrerà ufficialmente in vigore?
“Si tratta di un Regolamento sul trattamento dei dati sensibili che entrerà pienamente in vigore dal 25 maggio 2018 in tutti gli stati membri della U.E., senza la necessità di una normativa nazionale. Ciò costituirà un vero cambio di passo per la gestione e tutela dei nostri dati personali. Una data importante per le Istituzioni, i consumatori e le imprese.”
Chi riguarda e cosa rappresenta la piena applicazione del GDPR? Quali saranno gli aspetti più critici da interpretare e mettere in atto per le aziende?
“Il GDPR è a suo modo rivoluzionario, in quanto mette al centro le persone, ne riconosce il diritto all’oblio e le informa in modo trasparente sul trattamento delle proprie informazioni. Dunque tutte le aziende che trattano dati sensibili di residenti e/o cittadini della U.E dovranno adottare la strategia che meglio si addice alle proprie necessità, e allo stesso tempo trovare le soluzioni che più si adattano alle proprie esigenze. Le parole chiave che bisogna tenere a mente per non farsi trovare impreparati in vista dell’entrata in vigore del GDPR sono pianificare, promuovere, formare e utilizzare.”
Abbiamo detto che il GDPR sarà direttamente applicabile a tutti gli attori attivi sul territorio dell’Unione Europea. Questo testo di riferimento per l’Europa avrà ripercussioni dirette anche sulle imprese svizzere? Banalmente, la Svizzera sarà soggetta al GDPR?
“Il GDPR riguarda il trattamento dei dati personali relativi alle persone fisiche, indipendentemente da nazionalità o residenza. Ciò significa che i dati personali di una persona fisica domiciliata in Svizzera che sono trattati in uno Stato membro dell’Unione Europea rientrano nel campo d’applicazione del GDPR e allo stesso modo, Il GDPR è applicabile ad un’impresa stabilita in Svizzera che tratta dati sensibili di persone domiciliate per esempio in Francia, Belgio, Portogallo, Finlandia e Grecia.”
Quali sono i nuovi principi, le nuove “regole” introdotte dal GDPR e in cosa consistono?
“Per rendere le cose più comprensibili, possiamo riassumerli in cinque punti:
- Limitazione delle finalità e della conservazione dei dati: delimitare per cosa verranno usati in termini di raggio d’azione e tempo di trattamento
- Minimizzazione dei dati: prendere solo i dati strettamente necessari per fini e tempi di utilizzo
- Esattezza dei dati
- Integrità e riservatezza dei dati
- Diritto all’oblio: diritto del privato che concede i propri dati che questi ultimi vengano cancellati se richiesto”
Nel concreto, quali sono le azioni da portare avanti nel tempo per rispettare la nuova normativa?
“Innanzitutto l’azienda dovrà individuare un DPO (Data Protection Officer), ossia un responsabile della protezione dei dati personali che potrà essere interno o esterno all’azienda, ma che ovviamente non dovrà avere interessi.”
DPO, vogliamo dare qualche indicazione in più? Quali saranno i suoi compiti all’interno dell’azienda?
“Certamente. Oltre alla responsabilità di informare e consigliare chi gestisce il trattamento dei dati sensibili, il DPO avrà il compito di fare osservare il Regolamento, ossia di gestire l’adeguamento dell’azienda a questa iniziativa. Aiuterà dunque quest’ultima nella stesura di un DPIA (Data Protection Impact Assessment), ovvero un “piano di rischio” e di un Registro delle Attività di Trattamento, ovvero un documento che contenga informazioni in merito al trattamento dei dati personali messo in atto dall’azienda (come vengono raccolti, elaborati, archiviati, cancellati, da chi, ecc.) e che dimostri la conformità dell’azienda al Regolamento.”
Cosa succede in caso di violazione dei dati personali?
“In caso di distruzione, perdita, modifica, divulgazione, accesso non autorizzato, ecc. sussiste l’obbligo di Data Breach Notification, ossia l’obbligo di notificare entro 72 ore dall’accaduto alle autorità e agli interessanti quanto successo, quali azioni verranno messe in atto per ripristinare la situazione e quali iniziative verranno prese per evitare che il problema si ripresenti.”
Perché il GDPR dovrebbe avere un sicuro impatto sull’attività delle imprese?
“Perché la gestione dei dati personali non sarà più esclusivamente un adempimento, ma un processo aziendale che incide sull’organizzazione nella sua totalità. In primo luogo perché la razionalizzazione delle attività, e precisamente l’individuazione dei soggetti e delle responsabilità imposte dalle nuove normative all’interno del Registro, consente sicuramente di prevenire una certa tipologia di reati e, al contempo, agevola l’impresa nell’individuazione delle eventuali responsabilità dei propri dipendenti. In secondo luogo, in quanto l’inosservanza delle prescrizioni comporta sanzioni pesanti, che ammontano fino a 20.000.000 per privati e imprese non facenti parte di gruppi e fino al 4% del fatturato complessivo per i gruppi societari.”