Le procedure con il Nuovo Regolamento Europeo diventano sostanza!

Privacylab es

Finalmente ho cominciato a studiarmi la normativa. Non è ancora stata pubblicata in Gazzetta Ufficiale, ma la bozza approvata difficilmente subirà modifiche.

Da una prima lettura, non vedo grossi cambiamenti per tutti coloro che hanno affrontato con serietà negli anni scorsi il tema privacy e che soprattutto hanno continuato in questi anni a mantenere aggiornata la documentazione nonostante l’abolizione del DPS del 2012.

Giusto per addentrarci nella normativa vi riporto alcuni concetti molto interessanti.

Intanto parto dalle sanzioni: mooooltooo pesanti! Le multe possono arrivare a 20 milioni di euro o al 4% del fatturato globale del trasgressore. Una cifra che neanche i colossi della Silicon Valley (Google, Apple, Microsoft ecc) possono permettersi di prendere alla leggera.

Non ci sarà più l’obbligo di notificazione (art. 37), ma nello stesso tempo subentra l’obbligo di dover notificare i “data breach“. In caso di attacco al proprio sistema informatico e di perdite di dati o accesso da parte di soggetti non autorizzati, le aziende dovranno avvisare l’autorità di controllo entro 72 ore, e nei casi più gravi anche lo stesso interessato.

Tra le novità abbiamo la portabilità dei dati. In caso di eventuale necessità di dover trasferire i propri dati personali da un social network ad un altro, l’interessato avrà diritto di poterli esportare semplicemente. Viene introdotto il diritto all’oblio, cioè la facoltà di decidere quali informazioni cancellare per evitare che continuino a circolare in rete, fatto salvo per il diritto di cronaca per fatti socialmente rilevanti, e con le eventuali finalità di ricerche storiche.

Ulteriore novità il one-stop-shop. Praticamente il meccanismo che permette alle aziende multinazionali presenti in più stati, di poter far riferimento all’Autorità Garante in cui ha sede il proprio stabilimento principale.

Prima di progettare prodotti e software occorrerà osservare la privacy by design, cioè la capacità di mettere in campo tutte le metodologie di previsione delle misure di protezione dei dati personali ancora prima di essere messo in commercio.

Poi veniamo al concetto che preferisco: l’accountability.

Ai titolari del trattamento non solo viene richiesto di rispettare la legge (che mi sembra anche ovvio), ma soprattutto si richiede la stesura delle procedure (qualcuno le chiama check-list), che descrivono gli adempimenti e non in ultimo si richiede di mettere in pratica questi principi. Si dovrà essere in grado di dover dimostrare di aver adottato queste procedure, come ad esempio: di aver assegnato delle responsabilità, di aver valutato i rischi e di essere organizzati a dare una risposta a fronte dei problemi (mi sa di elenco dei trattamenti, obbligo di informativa ecc.)

Noi di Privacylab abbiamo sempre operato in questo senso, dando uno strumento al responsabile aziendale (oppure il titolare) che permette di avere sempre la situazione sotto controllo. Le procedure con il Nuovo Regolamento Europeo diventano sostanza. Vedi http://www.privacylab.it

Altro concetto non meno importante sarà di dover effettuare il privacy impact assessment. Noi di privacylab lo chiamiamo analisi dei rischi. Cosa che facciamo egregiamente già dal 2004.

Arriva inoltre l’obbligo di nominare un responsabile della protezione dei dati (il più famoso “Data Privacy Officer“), che dovrà essere nominato obbligatoriamente da tutte le pubbliche amministrazioni e da quelle aziende le cui attività comportano trattamenti di dati sensibili su larga scala (purtroppo larga scala non è un numero quindi avremo tempo due anni per capire meglio il suo significato quantitativo), o che per la loro natura adottano un monitoraggio regolare e sistematico degli interessati, come nel caso della profilazione degli utenti.

Purtroppo ad oggi, non esiste nessun albo ufficiale dei Data Privacy Officer e nemmeno una norma UNI (che è però in cantiere già da diversi mesi), che possa essere un riferimento per gli standard e le idoneità dei professionisti. Tuttavia ad oggi i professionisti possono essere valutati esclusivamente in base al cv e alle proprie competenze.

Alla prossima.

 

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...