Gdpr General Data Protection Regulation, News e Privacy 2.0

protezione dei dati personali gdpr e le novita legislative

Si è svolto lunedì scorso, 04 dicembre 2017 presso la sede di Bagnoli (Napoli), il primo dei 2 appuntamenti che PSB ha riservato alla novità legislativa che ci vedrà tutti coinvolti a partire dal prossimo anno: la nuova normativa riguardante la Privacy.

Nel 2018 infatti entrerà in vigore la nuova normativa GDPR: il Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR), direttiva di riforma della legislazione europea riguardante la protezione dei dati, tale normativa è costituita da 99 articoli che vanno ad incrementare l’attuale regolamento della Privacy; pubblicato all’interno della Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione avverrà in differita dopo 2 anni, quindi dal 25 maggio 2018. (Fonte: https://protezionedatipersonali.it/regolamento-generale-protezione-dati)

Essendo appunto un regolamento, non ha bisogno di accettazione esplicita da parte degli Stati dell’Unione, pertanto sarà messo in esecuzione allo stesso modo in tutti gli Stati dell’Unione, senza libertà di adattamento da parte di singoli Stati; lo scopo è quello di rendere univoca e generalizzata per ogni Stato membro l’adesione alla normativa, non si parlerà di normativa prettamente italiana al riguardo, quanto invece di alcuni chiarimenti o approfondimenti specifici, ad esempio i poteri dell’Autorità Garante nazionale.

Proprio sul ruolo del Garante, si è soffermata in particolar modo durante il convegno la Prof. Ing. Tina Santillo, la quale ha sostenuto che non si tratta di una semplice applicazione di norme e leggi, bensì di un mutamento: “cambia il concetto stesso di gestione del dato”, in quanto lo scopo è tutelare in maniera omogenea, uniforme tutti i paesi delle Comunità Europea. Dalle parole della Professoressa infatti, si evince subito l’importanza del momento e la rilevanza della riforma, continua infatti sostenendo che “quello che va a modificarsi, è proprio il paradigma tecnologico, in quanto sorge l’esigenza impellente di tutelare dati collocati in una posizione non ben definita, si parla infatti di Cloud computing”; il Cloud computing, lo ricordiamo, consta di un insieme di tecnologie che consentono di elaborare, archiviare e memorizzare dati grazie all’utilizzo di risorse hardware e software distribuite in rete; quindi una “dematerializzazione” dei supporti fisici: i dati, le informazioni non andranno più ad utilizzare risorse hardware presenti nella nostre attuali collocazioni fisiche, bensì collocate altrove. Risorse pertanto accessibili direttamente da internet, non più vincolate a postazioni fisse.

Il concetto di Tutela dei Dati, è qualcosa di molto più esteso anche rispetto a quello già conosciuto di Dati Sensibili, perché fino ad oggi la maggior tutela è stata riservata prettamente a questa particolare sezione del trattamento dei dati. Quindi la protezione si intende non solo per i dati sensibili (quelli cioè che riferiscono di preferenze religiose, politiche, sessuali, notizie attinenti allo stato di salute etc), bensì va estesa al concetto di Protezione dei Dati in senso lato, cioè totale. Ma a chi è demandato il compito di tutelare questi Dati? Per questa funzione sarà istituita la figura del Responsabile della protezione dei dati personali; questa persona, che andrà a fare da garante della sicurezza dei dati, dovrà essere presente (come figura interna oppure esterna) in ogni azienda, ente, studio professionale e quant’altro.

La figura professionale in questione, dovrà garantire che il menzionato regolamento venga messo in atto entro, come precedentemente detto, il 25 maggio del 2018.

L’urgenza attuale diventa quindi quella di adeguarsi alla nuova normativa: compito del Responsabile, oltre a quello di Formare nuove figure professionali all’interno dell’azienda, che avranno il compito di essere in contatto costante con il Garante della Privacy, nuove professionalità quindi, che saranno in “locale” i garanti per la gestione del dato.

La novità assoluta consiste nell’introduzione del Diritto all’Oblio: finalmente ci sarà la reale possibilità di chiedere la cancellazione assoluta dei dati da internet, in particolar modo dove non era stato esplicitato il consenso.

Sarà introdotto anche il “Comitato Europeo” che avrà il compito di sorvegliare e fare un rapporto annuale sull’andamento della normativa. Attualmente, quando c’è un flusso di dati dall’Europa, esso non è tutelato dalla copertura legislativa vigente: non esistono adeguate leggi “sovranazionali” al riguardo; il nuovo approccio riguarda tutto il processo, dalla raccolta al trattamento dei dati in ogni sua fase, come faceva presente durante il suo intervento al convegno l’Avvocato Prof.ssa Flora Pirozzi.

Altro intervento degno di nota, è stato quello del Prof. Ing. Pasquale Natale, che ha parlato di un nuovo metodo, un “Assessment, valutazione globale, secondo cui bisogna porsi il problema fin dalle fasi della progettazione, questo vuol dire adottare un approccio sistemico”; seguendo questo principio, varia anche la concezione stessa dell’azienda, che da sistema chiuso, deve necessariamente essere concepita come rivolta verso l’esterno, alla stregua di come viene concepita la produzione, sempre più spostata fuori: “alla stessa maniera in cui esce la produzione, escono anche i dati”. L’Ing. Natale continua sostenendo che il dato diventa un bene giuridico, come un bene privato; il dato quindi non è solo quello “sensibile”, ma qualsiasi informazione riguardante la persona, anche quella relativa ad una semplice scelta; di conseguenza deve essere preso in considerazione il Rischio, cioè il danno che può provenire dalla violazione del dato, cosa che riguarda strettamente l’azienda in quanto al momento della sottoscrizione del contratto, la persona affida i suoi dati, le proprie informazioni direttamente a noi. Proprio in virtù di questo contratto, è obbligo dell’azienda specificare sempre a chi saranno trasferiti questi dati e in che modo; perciò il metodo migliore diventa il concepimento del DVR, documento di valutazione rischi, che richiede necessariamente la presenza di una figura di responsabile. A tale scopo, necessitiamo tutti di un sistema integrato di trattamento dati, che deve essere tracciabile.

Nel caso di un professionista, uno studio medico, a chi è consentito trasferire i dati? Il dato, che diventa qualcosa di oggettivo e disciplinato, non può essere trasferito a terzi; però attualmente ci stiamo addentrando in un’epoca in cui la massa di dati è sempre più in aumento, si parla infatti di Metadati: non è più possibile individuare fisicamente la collocazione dei dati e la quantità stessa rischia di diventare inimmaginabile, è tutto de-materializzato. E sulla Dematerializzazione interviene in ultimo il Prof. Ing. Antonio Tufano, sostenendo che i dati devono essere trattati come oggetti da preservare, pertanto c’è bisogno sia di caratteristiche hardware e software, di nuove professionalità. In questo scenario, un ruolo fondamentale lo svolgono le apparecchiature di decriptazione; non solo le aziende quindi, ma qualsiasi professionista è tenuto ad acquisire nuove skills lavorative, composte sia da tecnologie (a livello fisico), che di capacità acquisite (a livello immateriale).

La prof. Santillo conclude dicendo che è facile vendere ciò che la gente ha realmente bisogno di acquistare, da qui nasce l’enorme vantaggio della diffusione dei dati, un vantaggio per ogni azienda che abbia qualcosa da vendere e che diventa, possiamo sostenere senza timore di esagerare, un vero e proprio “furto di informazioni”. Se saremo in grado di capire davvero la portata dei rischi raccontati, potremo allo stesso tempo avvertire la necessità di preservarci al meglio: investendo sulla protezione dei dati e facendo nostra (cioè appartenente a tutti i “cittadini digitali”) una vera e propria cultura aziendale della privacy 2.0!

Fiorinda Caliendo