GDPR. Direttiva sulla Protezione dei dati. Siete pronti? | BlockChain Caffè

Da metà maggio 2018 tutti i siti dovranno essere conformi alla Direttiva Europea sul General Data Protection Regulation (GDPR). Sarà un cambiamento importante per molte aziende e andrà ad impattare molte realtà. La direttiva lascia ampi margini all’interpretazione e alla verifica a posteriori in cui, di fatto, i gestori sono tenuti a dimostrare la bontà del loro operato.

Che cos’è il GDPR?

Si tratta di una legge del Parlamento Europeo, promulgata circa 2 anni fa. Nei prossimi mesi tutte le aziende italiane dovranno dimostrare di essere compliant con essa. Ma di cosa si tratta, in concreto? L’azienda che riceve dei dati deve avere un approccio alla gestione dei medesimi il più sicuro possibile; deve anche dimostrare che in caso di perdita, furto od altro incidente con i dati, essa ha fatto tutto il possibile per prevenire ciò che potrebbe accadere. In pratica, se quanto fatto sia sufficiente o meno, e se l’azienda avrebbe potuto fare di più.

Quindi non c’è una casistica precisa da seguire e da implementare. A seconda di ciò che è accaduto, qualcun altro giudicherà ciò che è accaduto. Le pene in caso di “colpevolezza” possono arrivare fino a 10 milioni di euro, od il 2% del fatturato consolidato.  Se l’azienda risultasse poi, in qualche misura, mendace apposta, le pene raddoppierebbero.

Le problematiche

Per noi italiani è anche peggio. Si tratta di una legge europea; non nasce dal diritto romano che giudica se una cosa sia giusta o sbagliata in virtù del fatto se sia accaduta o meno. Si tratta solo di una legge generale. Nel regolamento non si dice cosa sia corretto e cosa sia sufficiente. La radice è chiaramente quella della Common Law britannica. Quindi, basata sui precedenti giurisprudenziali più che su codici o, in generale, leggi e altri atti normativi di organi politici. In pratica, ci si adatterà caso per caso.

E’ l’azienda che deve dimostrare di aver fatto tutto il possibile per evitare problemi con i dati e proteggerli, autocertificandosi. E, nella pratica dei fatti, augurandosi anche di aver fatto tutto il meglio possibile. Non solo, ma l’azienda deve dimostrare anche di aver chiesto solo i dati indispensabili per fare una certa cosa. I dati dovranno poi essere cancellati in modo sicuro quando non saranno più necessari. Inoltre, ci vuole una ragione, dimostrabile, per chiedere quei dati.

L’utente, a sua volta, ha tutta una serie di diritti (cancellazione, quali dati abbia l’azienda, ecc.). L’utente, perciò, può chiedere all’azienda tutti i dati in merito a se stesso, e l’azienda deve obbligatoriamente farlo.

Cosa comporta questo?

Difesa strenua dei dati. Quindi crittazione, backup, accesso con minimi privilegi. Anche la progettazione di app cambierà perché tutto dovrà essere fatto in virtù delle nuove specifiche del trattamento dati della GDPR.

Si tratta di una legge complicata e diversa, nella struttura, da quelle a cui siamo abituati noi. Ma ci avremo a che fare tutti.

Ma è una legge buona o cattiva?

Entrambe. La parte negativa è che è una legge che lascia troppo spazio all’incertezza; non si saprà mai se si è fatto veramente tutto il possibile per proteggere i dati. Il garante della Privacy è comunque disponibile per un consulto, anche se i tempi di risposta saranno biblici, probabilmente…

Ovviamente, ci sarà anche un sacco di lavoro in più da fare, per le aziende. Questo perché la compliance di questa direttiva va ad incidere su tutto.

La parte positiva è che si tratta di un controllo utile. La proprietà dei dati viene restituita agli utenti. Ed il recente fatto che ha coinvolto Facebook è illuminante al proposito.

Quel che è certo è che la GDPR impatterà tutti (ma proprio tutti), e non solo chi lavora in ambiti IT.

Altri post che potrebbero interessarti