La nuova Privacy

Alessandro Santini Alessandro Santini

Alessandro Santini

Agente Assicurazioni

Data pubblicazione: 26 mar 2018
+ Segui

http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali


Dal 25 maggio 2018 sarà applicabile il Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche rispetto al trattamento dei dati personali (il “GDPR”). A seguito della sua entrata in vigore avvenuta il 25 maggio 2016, è stato concesso un biennio per consentire l’adeguamento degli ordinamenti degli Stati Membri, delle imprese e della pubblica amministrazione. Il GDPR, che ha lo scopo di creare un quadro giuridico per quanto più possibile coerente in materia, introduce diversi elementi di novità, le cui linee essenziali vengono illustrate nel proseguo.

A quali soggetti si applica

il GDPR ha come finalità espressa la protezione dei diritti e delle libertà fondamentali delle sole persone fisiche, e si applica a trattamenti di dati automatizzati (interamente o parzialmente) e non automatizzati.

L’ambito di applicazione territoriale del GDPR, inoltre, viene molto esteso rispetto a quello della precedente Direttiva 95/46/CE. Il GDPR si applica infatti a qualsiasi trattamento di dati effettuati da titolari o responsabili stabiliti nel territorio dell’Unione Europea,indipendentemente dal fatto che il trattamento venga eseguito poi al di fuori di questo perimetro geografico. La tutela del GDPR è rivolta a tutte le persone che si trovino nell’UE (indipendentemente dalla loro cittadinanza-residenza) e siano destinatari di offerte di prodotti o servizi, o i cui comportamenti, tenuti all’interno dell’UE, siano oggetto di monitoraggio. Infine, il GDPR si applica ai trattamenti di dati effettuati da Titolari stabiliti in qualsiasi luogo soggetto, in virtù del diritto internazionale pubblico, al diritto di uno Stato Membro UE. Qualora il GDPR si applichi ad un Titolare o Responsabile non stabilito nell’UE, vi è l’obbligo di designazione di un rappresentante in Europa.



Il trattamento del consenso

Pur permanendo sostanzialmente invariato l’impianto della Direttiva 95/46/CE per quanto riguarda la centralità dei principi fondamentali del trattamento e dei diritti degli interessati, il GDPR introduce degli elementi di novità che rafforzano la tutela per gli interessati:

-       Informativa: il contenuto minimo dell’informativa, i tempi e le modalità con cui deve essere resa sono ora espressamente e tassativamente elencati nel GDPR;

-       Consenso: deve essere libero, specifico, informato ed inequivocabile (e, solo per i dati sensibli, anche esplicito). Non è più ammesso il consenso rilasciato attraverso caselle preselezionate su un modulo, in quanto deve essere espresso mediante "dichiarazione o azione positiva inequivocabile" (pur non essendo necessaria la forma scritta);

-       Diritti: il GDPR introduce, accanto ai diritti già riconosciuti agli interessati, il diritto all’oblio (ossia di cancellazione “estesa” di tutti i dati personali), il diritto di limitazione del trattamento ed il diritto alla portabilità dei dati. In via generale, il GDPR prevede anche l’obbligo per il Titolare di agevolare l’esercizio dei diritti da parte degli interessati.

I protagonisti del trattamento

Nel GDPR sono riconosciute le figure di Titolare e Responsabile del trattamento sostanzialmente negli stessi termini di cui alla Direttiva 95/46/CE, sia per quanto riguarda le caratteristiche soggettive che le responsabilità. Tra gli elementi di novità si trova innanzitutto la previsione di obblighi specifici in capo ai responsabili del trattamento, diversi da quelli dei titolari (ad es. la tenuta del registro dei trattamenti, l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti, la designazione di un DPO) e la espressa possibilità per il Responsabile del trattamento di nominare sub-responsabili del trattamento. IL GDPR esplicita inoltre le caratteristiche dell'atto con cui il Titolare designa un Responsabile del trattamento: deve trattarsi di un contratto (o altro atto giuridico conforme al diritto nazionale) con contenuto minimo tassativamente specificato nel GDPR, al fine di dimostrare che il Responsabile fornisce "garanzie sufficienti" per ricoprire il suo ruolo.

Il GDPR prevede inoltre ipotesi di contitolarità del trattamento, che si verificano quando due o più titolari definiscono congiuntamente le finalità e i mezzi del trattamento. In simili casi è obbligatoria la specifica definizione (con atto giuridicamente valido ai sensi del diritto nazionale) del rispettivo ambito di responsabilità, dei compiti e delle modalità di esercizio dei diritti degli interessati.


Sanzioni


Con particolare riferimento alle imprese, chiara è l’impronta verso un maggior rigore generale, la previsione di sanzioni più gravi e la programmazione di adempimenti più articolati, oltre a un maggior livello di protezione del soggetto cui i dati si riferiscono (e di cui vengono trattati).

Il GDPR ha inasprito l’ammontare delle sanzioni amministrative pecuniarie applicabili da parte delle autorità di controllo competenti. A seconda del tipo di violazione, l’importo massimo sanzionabile può arrivare fino a 10 o 20 milioni di Euro per le persone fisiche, mentre per le imprese fino al 2% o 4% del fatturato globale annuo dell’anno precedente. In aggiunta a ciò, il GDPR lascia anche la possibilità agli Stati Membri di introdurre ulteriori sanzioni aventi diversa natura.


L’attività di adeguamento e tutela dalle ricadute economiche, dovrà necessariamente dividersi in tre fasi, la prima di prevenzione attraverso il rispetto della normativa, poi di protezione dei sistemi informatici, (si dovrà dimostrare di aver rispettato quanto disposto dal decreto per tutelare i dati) e tutelarsi dalle ricadute economiche con una polizza assicurativa (non obbligatoria).


Siamo già in grado di supportare i nostri clienti per quanto al paragrafo precedente con un servizio di adeguamento della normativa Privacy e il suo aggiornamento nel tempo , il servizio di prevenzione certificata , anche in considerazione che la nuova normativa prevede l’obbligo di segnalazione degli attacchi informatici subiti alla compente Autorità,  a completamento della proposta realizzata abbiamo a disposizione un prodotto assicurativo destinato allo scopo per gestire le criticità a posteriori.


Cyber risk: di cosa si tratta?

(in allegato un rapporto dell’ANIA)


Un rischio ancora decisamente sottovalutato che sta emergendo in tutta la sua complessità e pericolosità nelle imprese: il rischio informatico, o rischio cyber.

Ci troviamo immersi quotidianamente in una sorta di universo parallelo che noi stessi contribuiamo a “popolare” ogni giorno, generato da una mole innumerevole di dati e informazioni che vorticosamente si rincorrono, si gestiscono nei software gestionali, si allegano in e-mail, si condividono sui social, si divulgano nei blog e nei siti istituzionali costituisce certamente una ricchezza soprattutto per i benefici che apporta al business.

Come ogni ricchezza, però, va tutelata nel migliore dei modi.

La globalizzazione a braccetto con l’innovazione tecnologica strepitosa degli ultimi due decenni ha aperto strade un tempo impensabili quanto a velocità di riscontro (pensiamo al confronto telefono fisso vs. e-mail), fluidità dei processi e della logistica, nuovi business e mille altre opportunità di cui oggi disponiamo.

Senza dubbio ogni azienda a seconda del settore di attività e della propria dimensione possiede smartphone aziendali, uno o più server, una struttura IT e volumi di dati che necessariamente e quotidianamente incamera e gestisce. Ciascuno di questi device o infrastrutture IT rappresenta una “porta” di accesso potenziale per chiunque nel mondo sia intenzionato a danneggiare la nostra impresa.


Quali i rischi concreti per il business ?


Secondo uno studio statistico condotto a livello internazionale i settori più colpiti risultano quello dei servizi finanziari (dati di carte di credito ecc.) e i servizi correlati alla sanità (privacy e dati sensibili), e molti altri settori merceologici mostrano dati in drammatica ascesa. 

Certo, si potrebbe dire, ma cosa potrebbe accadere alla mia piccola impresa artigiana?. Il punto non è tanto chiarire il “cosa”, quanto le conseguenze che un attacco hacker – un malware – un errore umano possono comportare. In un mondo inesorabilmente interconnesso anche un allegato mail aperto per errore da uno smartphone aziendale può potenzialmente mettere in ginocchio l’azienda stessa, permettendo l’accesso di malintezionati che operano anche a migliaia di km da noi.


Perché il cyber risk non è un rischio da sottovalutare?


Pensiamo ad un evento atmosferico, anche sufficientemente potente da compromettere seriamente la continuità del business. Se adeguatamente coperto con uno strumento assicurativo, il danno sarà risarcito e l’attività potrà riprendere come e, potenzialmente, meglio di prima. In un evento cyber non è sufficiente rimettere in piedi “i muri”; un danno di reputazione conseguente ad una perdita di dati sensibili ad esempio, può già di per sè causare danni enormi.

Se poi aggiungiamo:eventuali sanzioni - perdita di dati – ripristino dei sistemi – spese legali per tutelarsi dalle richieste di risarcimento dei danneggiati da un lato e dell’autority dall’altro ( in questo caso garante della privacy D.lgs 196/03 ) – danni indiretti da mancato guadagno solo per citarne alcuni. Concorderete, il quadro si fa davvero pesante.




Per visualizzare o aggiungere un commento, accedi

Altri articoli di questo autore

Vedi tutto

Altre pagine consultate