Al fine di garantire una maggior sicurezza delle informazioni, l’Unione Europea ha introdotto nel 2016 il GDPR, normativa alla quale le imprese devono adeguarsi entro e non oltre il 25 maggio 2018.

Il Regolamento impone obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei.

Quali dati sono soggetti al GDPR?

L’introduzione della normativa non fa più riferimento a quelli che si chiamavano fino a poco tempo fa “dati sensibili”, ma a qualunque informazione riguardante una persona fisica identificata  o identificabile, direttamente o indirettamente (non solo nome e cognome, ma anche indirizzi IP, cookies, email, dati bancari, ecc.) e trattabili con mezzi automatizzati e non.

Quali aziende sono soggette al GDPR?

Si devono adeguare alla normativa tutte le imprese, le organizzazioni e le Pubbliche Amministrazioni presenti negli stati membri dell’Unione Europea (indipendentemente dal fatto che il trattamento sia effettuato in UE), ma anche società extra UE che offrono servizi o prodotti a persone fisiche nel territorio dell’UE.

Il DATA PROTECTION OFFICER (DPO)

Anche se già obbligatoriamente presente in alcune nazioni europee, il GDPR ha introdotto la figura del DPO in tutti i membri dell’Unione. Si tratta di un soggetto indipendente (interno o esterno alle organizzazioni e un gruppo di imprese o soggetti pubblici può nominare un unico DPO) il cui compito è quello di osservare, valutare e organizzare la gestione e protezione del trattamento di dati personali in conformità alla legge. La sua nomina deve essere obbligatoria per tutti le amministrazioni ed enti pubblici, per i soggetti la cui attività principale consiste in trattamenti che richiedono il controllo regolare e sistematico degli interessati e per tutti i soggetti la cui attività principale consiste nel trattamento di dati sensibili.

 

DATA BREACH

Una delle tematiche affrontate dal GDPR riguarda il Data Breach, definito come qualsiasi attività che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Le aziende, entro 72 ore dalla venuta a conoscenza della violazione subita (eventuali ritardi devono essere giustificati) devono comunicare all’Authority la natura della violazione, le possibili conseguenze, le misure adottate per rimediare o ridurre l’impatto del danno subito, ma anche fornire il nome e i dati di contatto del DPO.

Qualora sussistesse un rischio elevato per i diritti e le libertà della persona fisica i cui dati sono compromessi, la comunicazione dovrà avvenire anche agli interessati con le stesse modalità fornite all’Autorità.

 

Responsabilità e sanzioni

Sono passibili della responsabilità e quindi tenuti al risarcimento soltanto il titolare del trattamento ed il responsabile incaricato. Il titolare deve risarcire qualsiasi danno abbia cagionato in virtù della violazione del Regolamento nel trattamento dei dati, il responsabile risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare.

Il GDPR prevede sanzioni pecuniarie e penali a seconda della gravità della violazione e delle strategie messe in atto dall’azienda per minimizzare il rischio di perdita dei dati.

Sono stabilite multe fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo dell’azienda dell’esercizio precedente, se superiore alla predetta cifra, qualora non vegano adottati accorgimenti strutturali e formali, come ad esempio non aver assegnato ruoli specifici nel trattamento dei dati così come del DPO, non aver realizzato i registri delle attività di trattamento o il non aver comunicato la violazione del Data Breach all’Autority e all’interessato.

Le sanzioni salgono a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra, qualora si attestino violazioni ai principi e alle norme che provocano dei danni sugli interessati.

Anche le organizzazioni no profit e di volontariato, ad esempio, sono soggette a sanzioni, le cui multe saranno appunto valutate dall’Authority.

 

Conclusioni

Le minacce sono sempre più complesse e le aziende spesso non hanno le conoscenze per combatterle. È necessaria una tecnologia che protegga i dati su più livelli. Il Gdpr afferma che le aziende devono implementare le tecnologie di ultima generazione in relazione al rischio che si corre.

La necessità di rilevare e notificare i data breach, come minimo per limitare le sanzioni, richiederà alle aziende prima di tutto una maggiore capacità di rilevare gli incidenti, attraverso un monitoraggio efficace degli eventi di sicurezza all’interno del proprio sistema informativo.