Il Dato personale in rete, cos’è e come si protegge

Arrivano importanti novità in materia di Trattamento e la Protezione dei Dati Personali sulle proprietà informatiche di enti, imprese ed istituzioni europee.

Il 25 maggio 2018 infatti, entrerà in vigore il nuovo Regolamento sul Trattamento dei Dati contenuto nel Regolamento Europeo Privacy UE 2017/679, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea. Parliamo di GDPR, acronimo che sta per General Data Protection Regulation, normativa che impone diverse novità ed adeguamenti a chi gestisce sistemi informatici che trattano il Dato personale dell’utente.

Innanzitutto, definiamo il Dato Personale:

è un dato personale “qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica […] come nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer

Chi dunque riconosce di avere proprietà informatiche che trattato il dato personale così come descritto,  non può non adeguare le proprie strutture al nuovo regolamento, fortemente voluto dagli Stati Membri europei. Per mettersi in regola ci sarà tempo fino al 25 maggio 2018, pena le sanzioni previste dal Comitato Europeo per la Protezione dei Dati Personali.

Trattandosi di un tema complesso ove entrano in gioco, privacy, dati sensibili e sicurezza informatica, è importante affidarsi ad organizzazioni serie in grado di gestire l’adeguamento alla normativa e a tale scopo vi presentiamo GDPR/18, un’organizzazione composta da esperti informatici e consulenti legali con competenze in materia di Trattamento e Protezione dei Dati Personali.

All’interno del sito www.gdpr.net, disponibile in tutte le lingue europee, è possibile scaricare il documento di legge ove trovare tutti gli articoli a cui conformarsi; è possibile effettuare un test autovalutativo per conoscere lo status della propria azienda e richiedere, nel caso se ne evidenziasse la necessità, le figure professionali adatte per apporre correttivi alle proprietà informatiche non in regola.

Le novità più importanti del nuovo testo di legge possono essere sintetizzate in tre punti focali:

  1. concetto di data protection by design
  2. concetto di “accountability
  3. introduzione del Data Protection Officer da parte del responsabile e del titolare del trattamento

Per quanto concerne il primo punto, la protezione dei dati dovrà essere assicurata sin dalla progettazione di una proprietà e protezione per impostazione predefinita (anche conosciuta come Data Protection by Design&Default). I dati dovranno poter essere gestiti e trattati in ogni ciclo produttivo (anche progettuale) della proprietà o sistema informatico.

Per Accountability intendiamo invece il principio di responsabilizzazione. I titolari del trattamento dei dati dovranno garantire sempre e comunque il rispetto dei principi messi a norma:  “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche”, e per questo motivo “non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Questo secondo concetto fa da viatico per introdurre la figura del DPO, il Data Protection Officer, figura preposta appunto alla responsabilità del trattamento dei dati.

In ultimo accenniamo ad un nuovo obbligo posto da questo nuovo regolamento che richiama il concetto di ciclo produttivo analizzato al punto a. La normativa di cui parliamo è il DPIA, Data Protection Impact Assesment che prevede il monitoraggio sistematico del Trattamento dei Dati Personali sensibili ed alto rischio.