GDPR Whitepaper
In collaborazione con Reale Mutua
10 Maggio Mag 2018 0933 10 maggio 2018

Trattamento dei dati personali, il 25 maggio entra in vigore il GDPR: cosa bisogna sapere

Il nuovo regolamento per i paesi dell’Unione europea prevede multe fino a 20 milioni o, alternativamente, fino al 4% del fatturato a chi non si adegua. Sul mercato già i primi pacchetti assicurativi: Reale Mutua presenta Cyber Risk Reale. 

  • ...

Il 25 maggio del 2018 è da segnare sul calendario per aziende e pubblica amministrazione. Da questa data, infatti, entra in vigore il regolamento dell’Unione europea 2016/679, noto come GDPR, acronimo inglese che significa regolamento generale per la protezione dei dati personali. La misura è rivolta a tutte le aziende e amministrazioni pubbliche che operano sul territorio Ue e alle multinazionali con sede all’estero che fanno uso nella loro attività di dati personali di cittadini di uno stato membro. Chi non è in regola rischia sanzioni che possono andare dalla diffida amministrativa a maxi multe fino a 20 milioni di euro o, alternativamente, pari al 4% del fatturato nei casi di violazione più gravi (per esempio, trasferimento illecito di dati personali a una Paese terzo). Sul mercato esistono già prodotti assicurativi che permettono di far fronte a tutti i nuovi adempimenti legislativi. Reale Mutua ha pensato alla polizza Cyber Risk Reale: uno strumento che si avvale della consulenza tecnica di Lazarus, società specializzata in sicurezza informatica che offre servizi a più di 10 milioni di utenti in 22 paesi. Ma cosa cambia, nel dettaglio, con questa normativa volta ad armonizzare le leggi già vigenti nei singoli stati europei?

I DATI DOVRANNO ESSERE PORTABILI. La portabilità dei dati diventa un diritto sancito dal GDPR. Significa che i cittadini potranno chiedere ai titolari del trattamento (le aziende) di avere una copia digitale dei propri dati da loro stessi in precedenza forniti. Questi devono essere restituiti in modo leggibile e in un formato di uso comune, in modo che il cittadino li possa salvare, per esempio, sul proprio computer o su una chiavetta Usb. È un interesse che può nascere per semplici motivi di controllo, oppure per poter trasferire volontariamente i propri dati a un altro titolare. Rimangono esclusi da questo diritto registri di interesse pubblico come possono essere le anagrafi. E non sarà permesso, inoltre, trasferire i dati a Paesi extra Ue che non aderiscano ai più alti standard di privacy sul trattamento dei dati personali.

AZIENDE ED ENTI DOVRANNO MONITORARE LA SICUREZZA. Le Aziende che raccolgono i dati personali sono responsabili affinché il loro trattamento non comporti un rischio per le libertà e i diritti dei cittadini. Ciò significa che dovranno essere effettuati controlli scrupolosi per evitare che i dati vengano violati. E se questo dovesse accadere, l’azienda dovrà segnalare la violazione all’organo competente (per l’Italia è il Garante della Privacy). Il titolare dovrà informare in modo chiaro e immediato anche i cittadini su come intende limitare i danni. Può decidere di non farlo solo nel caso ritenga che la violazione non comporti un rischio elevato per i diritti delle persone oppure se dimostrerà di avere già adottato misure di sicurezza. Fermo restando che il Garante, che deve essere avvisato in ogni caso, può comunque imporre che i cittadini vengano informati sulla base di proprie valutazioni inerenti ai rischi.

UNA NUOVA FIGURA: IL RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO). Alcune aziende e Amministrazioni dovranno incaricare un responsabile della protezione dei dati, una figura – che riferisce ai vertici, ma è indipendente - con il compito di assicurare la gestione corretta dei dati personali. In particolare, la nomina del DPO è obbligatoria quando il titolare del trattamento è una autorità o un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali) oppure effettua trattamenti che richiedono il monitoraggio regolare e sistematico delle persone su larga scala. E, inoltre, quando le sue attività principali prevedono trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari. Questa nuova figura deve avere competenze specifiche in materia e una conoscenza approfondita della normativa: ha compiti di informazione, formazione, consulenza e sorveglianza dell'adempimento della normative sulla privacy, ed è l'interlocutore dell'autorità di controllo. Il DPO può essere un consulente esterno a cui le aziende devono garantire l'accesso ai dati e le risorse necessarie.

IL DIRITTO ALL’OBLIO. I cittadini potranno richiedere la cancellazione dei propri dati personali. E se il titolare del trattamento li ha resi pubblici dovrà, dopo aver soddisfatto la richiesta, farsi da tramite con tutti i titolari di trattamento che, a sua conoscenza, stanno utilizzando i dati da lui resi pubblici. L’obbligo si esaurisce però alla semplice segnalazione della richiesta e non prevede l’accertamento che questi dati vengano poi effettivamente cancellati e non più utilizzati. Il diritto all’oblio, tuttavia, non è garantito in alcuni casi: l’esercizio del diritto alla libertà di espressione e informazione; l’adempimento di un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito di pubblico interesse; per motivi di sanità pubblica; se i dati vengono usati in archivi di pubblico interesse, di ricerca scientifica o storica a fini statistici; per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

CYBER RISK REALE: COSA PREVEDE. Si diceva che il GDPR prevede che aziende ed enti controllino la sicurezza dei propri sistemi informatici, affinché i dati personali non vengano trafugati, danneggiati o utilizzati in modo illecito. Reale Mutua, in collaborazione con una società di data recovery, offre un servizio di monitoraggio del rischio e di pronto intervento tecnico, in caso di malware, virus e attacchi hacker. La copertura assicurativa prevede anche l’installazione di un software che inibisce o limita il contagio da ransomware, cioè da quei malware che criptano i dati informatici e richiedono il pagamento di un riscatto (spesso in moneta virtuale) per ottenerne la decriptazione. La polizza potrà inoltre essere attivata nel caso in cui i dati personali – da custodire con cura per legge - vengano divulgati a terzi, danneggiati o siano utilizzati illecitamente per la violazione della privacy personale degli individui o il danneggiamento della loro reputazione.

© RIPRODUZIONE RISERVATA

Correlati

Potresti esserti perso