È entrato in vigore il 25 maggio 2018 in tutti gli stati membri dell’Unione Europea, il Regolamento UE 2016/679 meglio noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche in riferimento al trattamento e alla libera circolazione dei dati personali. Il regolamento GDPR è composto da 99 articoli (il numero sale a 173 se si considerano anche quelli che hanno solo un valore interpretativo), contiene tutte le regole da adottare, affinché all’interno dell’Unione Europea, il trattamento dei dati personali dei singoli individui adempia al rispetto dei termini privacy. Ciò perché con il Trattato di Lisbona, entrato in vigore il 1° dicembre 2009, la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va garantito allo stesso modo in tutto il territorio dell'UE (anche se sono contemplati dei margini di manovra riservati ai legislatori nazionali in alcune materie, in particolare quelle che riguardano in via diretta l'esercizio di pubblici poteri, come da decreto di adeguamento 101 del 2018). Gli altri obiettivi del GDPR sono quelli di garantire lo sviluppo del Mercato Unico Digitale Europeo (Digital Single Market), infatti, grazie alla maggiore tutela dei dati si alimenta la fiducia dei cittadini nella società digitale e nell'uso dei relativi servizi e quello di rispondere in maniera adeguata e tempestiva alle nuove sfide derivanti dall’implementazione delle nuove tecnologie digitali. Attraverso la messa in atto del Regolamento si garantisce un controllo del dato, diversamente alla visione precedente che intendeva una proprietà del dato. In sostanza, oggi, si favorisce la libera circolazione dei dati, ponendo più attenzione sugli stessi e rafforzando i diritti dell'interessato, il quale deve poter sapere se i suoi dati sono usati e in che modo, per tutelare lui e l'intera collettività dai rischi insiti nel trattamento stesso. Con il GDPR si proclama l’assoluta tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche, così come esplicitamente recitato dall’Art.1 Par. 2 “Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”. A questo punto la responsabilità sul trattamento dei dati è da imputare al titolare (del trattamento) e ai responsabili che li utilizzano per il trattamento, ciò dietro “accountability” ovvero rendicontazione da parte degli stessi che si è rispettato e adottato pienamente il GDPR. Oggi l’attenzione è puntata sul dato e non più sull’individuo, questo perché si è adottato un approccio basato sulla valutazione del rischio (risk based), attraverso la quale si stabilisce la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Attraverso questa tipologia di approccio risk based, infatti, si ottiene il vantaggio di pretendere degli obblighi che possono andare oltre la mera aderenza alla legge, e risulta anche più flessibile rispetto ai cambiamenti repentini della tecnologia. Quanto c’è di negativo è rappresentato dal fatto che è l’azienda a doversi assumere la valutazione di suddetto rischio, in base a parametri non del tutto generatori di consenso; infatti, attraverso il GDPR si pone maggiore attenzione all’azienda, che può permettersi di considerare ad “alto rischio” la violazione dei dati di un minore e rischio più basso quella riferita a un adulto, così come la violazione di un grande insieme di dati è “high risk” rispetto a quella di un gruppo più ristretto. Attraverso l’attuazione del GDPR si prevede anche: Il Regolamento si mette in pratica a due tipologie di trattamento dei dati personali: Mentre non trova applicazione in merito a trattamenti effettuati: Il GDPR regolamenta solo il trattamento dei dati per le persone fisiche, non include le persone giuridiche. Fa riferimento a soggetti stabiliti nell’Unione Europea, quindi vale anche per quelle aziende che offrono servizi a utenti dell’UE (quindi anche per aziende che non hanno sede nell’Unione Europea). Sono numerosi i mercati soggetti all’attacco della privacy dei dati, ma alcune stime sono in grado di indicarci quali sono più nel mirino: Si tratta di settori assolutamente comuni all’interno dei quali sono contenuti un’enormità di dati, per questo è fondamentale affidarsi a professionisti che possano seguire le aziende, in modo da svolgere accurate analisi del panorama normativo in materia di protezione dei dati e che di conseguenza siano in grado di individuare e implementare una strategia mirata ed efficace per garantire i diritti dei cittadini.In cosa consiste il GDPR?
Cosa cambia in pratica con l’attuazione del GDPR?
A quali dati si applica il GDPR
Quali sono i settori più impattati dagli attacchi ai dati?