Il tema è stato ampiamente discusso in ogni sede e pagina web negli ultimi mesi e oggi è finalmente arrivato il giorno 0, l’entrata in vigore definitiva del Regolamento (EU) 2016/679, “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”.

Eppure il processo di adeguamento non è concluso e, considerate le difficoltà incontrate nell’implementazione della nuova normativa, è possibile ipotizzare che l’attenzione sul tema rimarrà ancora alta per qualche tempo.

GDPR in Italia: l’adeguamento normativo

Intanto, dal punto di vista regolamentare nazionale, con l’ atto di Governo n. 22 del 10 maggio 2018, è stato inviato al Parlamento lo schema di Decreto Legislativo per adeguarsi alle disposizioni del Regolamento UE 2016/679.

L’obiettivo del documento è di modificare parzialmente il Codice della Privacy negli articoli impattati dalla norma europea o integrarlo con le parti nuove, senza abolire l’intero Codice. Ma la discussione è ancora aperta e sembra andrà avanti almeno fino all’estate.

Le iniziative del Garante

Per accompagnare l’introduzione della normativa, il Garante per la Protezione dei Dati Personali ha nel frattempo anticipato il processo legislativo e pubblicato la Guida all’applicazione del Regolamento europeo, che si focalizza sui seguenti temi:

  • il concetto della liceità del trattamento, indicato all’art. 6 del regolamento;
  • l’informativa da garantire all’utente finale sulla base degli articoli 13 e 14 del regolamento, in termini di contenuti, tempistiche, modalità di comunicazione;
  • i diritti degli interessati, le tempistiche di risposta, l’analisi delle richieste, la gratuità ed eventuali deroghe;
  • le definizioni e le differenze tra Titolare, Responsabile e Incaricato del trattamento;
  • il processo di valutazione del rischio e la responsabilizzazione di Titolare e Responsabile;
  • il trasferimento dei dati al di fuori dei Paesi Membri.

Altre fonti di informazione sul GDPR

Lato Unione Europea, il sito GDPR Information Portal ha l’obiettivo di fornire informazione al pubblico sul Regolamento; la pagina dedicata all’argomento dalla Commissione Europea, invece, sintetizza regole, principi e  i maggiori cambiamenti rispetto al passato in termini di:

  • linguaggio di comunicazione, che deve essere chiaro e semplice;
  • consenso da parte dell’utente, che deve essere sempre esplicito, prima che i suoi dati possano essere utilizzati da un’azienda;
  • maggiore trasparenza, ad esempio sul trasferimento dei dati o sull’obiettivo del loro utilizzo;
  • aumento dei diritti degli utenti finali;
  • rafforzamento delle sanzioni e dei controlli da parte delle Autorità.

GDPR: le best practices operative

Il ricorso a principi ISO o protocolli di settore può essere un supporto utile e concreto per gli aspetti operativi. A titolo esemplificativo, con particolare riguardo dell’analisi dei rischi e delle tecniche di sicurezza, riportiamo:

ISO 27001: Sistemi di gestione della sicurezza delle informazioni;

ISO 27005: Information security risk management;

ISO 31000: Gestione del rischio, principi e linee guida;

ISO 31010: Risk Management, tecniche per l’assessment del rischio;

ISO 29151: Information technology security

Sui temi della sicurezza delle reti e dei sistemi informativi, occorre anche tener conto della Direttiva 2016/1148, detta anche ‘NIS’.