E’ fondamentale che le aziende identifichino fin da subito le modalità con cui adeguarsi al nuovo Regolamento, evitando così di arrivare impreparate ad affrontare quello che viene considerato come il cambiamento più significativo degli ultimi 20 anni nella storia della protezione dei dati. Le aziende devono rivisitare immediatamente i propri processi interni ponendo priorità e precedenza alla privacy degli utenti. È altresì necessario che le aziende potenzino la comunicazione aziendale interna attraverso programmi di formazione specifica affinché chiunque si trovi in una posizione che implica l’accesso ai dati personali degli utenti sappia correttamente entro quali limiti poter svolgere la propria attività.
Nonostante fosse in vigore dal 24 Maggio 2016, il nuovo GDPR avrà piena applicazione solo a partire dal 25 Maggio 2018. Come abbiamo accennato, il regolamento introduce importanti novità in merito alla sicurezza del trattamento dei dati personali.
- Definisce regole precise riguardo al trattamento dei dati sensibili, che devono essere adottate in ogni contesto;
- Stabilisce una serie di misure tecniche e organizzative, volte a facilitare il compito dei titolari del trattamento dei dati, affinché possano aumentare la sicurezza delle informazioni sensibili di cui dispongono e intervenire con gli strumenti adeguati in caso di data breach.
Come è lecito immaginare, una protezione totale è difficile da assicurare. Per questo il GDPR non solo specifica le diverse tipologie di possibile data breach (ossia perdita, distruzione e accesso non autorizzato), ma elenca anche le misure di sicurezza da adottare per salvaguardarli al meglio.
In caso di “violazione” che possa determinare un rischio per i diritti e le libertà delle persone, si dovrà darne una tempestiva notifica (entro 72 ore) alle autorità locali competenti, e anche le persone interessate dovranno essere avvertite senza ritardo. Ciò, di fatto, obbliga le imprese ad implementare adeguati sistemi che possano offrire una tempestiva segnalazione del breach.
I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati.
Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.
il regolamento prescrive anche l’obbligo, da parte del titolare del trattamento dei dati, di tenere un “Registro degli Incidenti” in cui vanno annotati il tipo di data breach occorso, i motivi che l’hanno generato, le conseguenze che ha avuto e le misure messe in atto per ripristinare la situazione iniziale e, dunque, per tutelare i dati personali.
In questo modo non solo si dispone di una documentazione scritta dei “sinistri” avvenuti, ma si hanno sotto mano le diverse case histories da cui prendere spunto per migliorare costantemente i sistemi e le misure di sicurezza, volti a proteggere i dati sensibili.
Violazioni di dati personali – Gli adempimenti previsti (infografica)