Il Regolamento generale sulla protezione dei dati (GDPR) è una legge dell'Unione Europea (UE) che disciplina il modo in cui le organizzazioni raccolgono e utilizzano i dati personali. Qualsiasi azienda che opera nell'UE o che gestisce i dati dei residenti nell'UE deve rispettare i requisiti del GDPR.
Tuttavia, la conformità al GDPR non è necessariamente una questione semplice. La legge delinea un insieme di diritti di privacy dei dati per gli utenti e una serie di principi per il trattamento dei dati personali. Le organizzazioni devono rispettare questi diritti e principi, ma il GDPR lascia spazio a ciascuna azienda per decidere come.
La posta in gioco è alta e il GDPR impone sanzioni significative in caso di non conformità. Le violazioni più gravi possono portare a multe fino a 20.000.000 EUR o al 4% del fatturato globale mondiale dell'organizzazione nell'anno precedente. Le autorità di regolamentazione del GDPR possono anche porre fine alle attività illecite di trattamento dei dati e costringere le organizzazioni ad apportare modifiche.
La lista di controllo seguente copre le principali normative GDPR. Il modo in cui un'organizzazione soddisfa queste normative dipenderà dalle sue circostanze uniche, inclusi i tipi di dati che raccoglie e il modo in cui utilizza tali dati.
Il GDPR si applica a qualsiasi organizzazione con sede nello Spazio Economico Europeo (SEE). Il SEE comprende tutti i 27 stati membri dell'Unione Europea più l'Islanda, il Liechtenstein e la Norvegia.
Il GDPR si applica anche alle organizzazioni al di fuori del SEE se:
Il GDPR non si applica solo alle aziende che utilizzano i dati dei clienti per scopi commerciali. Si applica a quasi tutte le organizzazioni che trattano i dati dei residenti nel SEE per qualsiasi scopo. Le scuole, gli ospedali e le agenzie governative rientrano tutti sotto l'autorità del GDPR.
Le uniche attività di trattamento dei dati esenti dal GDPR sono quelle legate alla sicurezza nazionale o all'applicazione della legge e gli usi puramente personali dei dati.
Il GDPR utilizza una terminologia specifica. Per comprendere i requisiti di conformità, le organizzazioni devono comprendere il significato di questi termini in questo contesto.
Il GDPR definisce i dati personali come qualsiasi informazione relativa a un essere umano identificabile. Tutto, dagli indirizzi e-mail alle opinioni politiche, conta come dati personali.
Un interessato è l'essere umano che possiede i dati. In altre parole, è la persona a cui si riferiscono i dati. Supponiamo che un'azienda raccolga numeri di telefono per inviare messaggi di marketing via SMS. I proprietari di tali numeri di telefono sarebbero gli interessati.
Quando il GDPR fa riferimento agli interessati, si riferisce agli interessati residenti nel SEE. Per godere dei diritti alla privacy dei dati previsti dal GDPR, non è necessario che i soggetti siano cittadini dell'UE. Devono semplicemente essere residenti nel SEE.
Un titolare del trattamento dei dati è qualsiasi organizzazione, gruppo o persona che ottiene dati personali e determina come vengono utilizzati. Tornando all'esempio precedente, un'azienda che raccoglie numeri di telefono per scopi di marketing sarebbe un titolare del trattamento.
Il trattamento dei dati è qualsiasi azione eseguita sui dati, inclusa la raccolta, l'archiviazione o l'analisi. Un responsabile del trattamento dei dati è qualsiasi organizzazione o attore che compie tali azioni.
Un'azienda può essere sia titolare del trattamento che responsabile del trattamento, ad esempio un'azienda che raccoglie numeri di telefono e li utilizza per inviare messaggi di marketing. I responsabili del trattamento includono anche terze parti che elaborano i dati per conto dei titolari del trattamento, come un servizio di storage cloud che ospita un database di numeri di telefono per un'altra azienda.
Le autorità di controllo sono gli enti normativi che applicano i requisiti del GDPR. Ogni paese del SEE ha la propria autorità di controllo.
A livello generale, un'organizzazione è conforme al GDPR se:
La seguente lista di controllo suddivide ulteriormente questi requisiti. Le misure pratiche che un'organizzazione adotta per soddisfare questi requisiti dipenderanno, tra gli altri fattori, dalla sua posizione, dalle risorse e dalle attività di trattamento dei dati.
Il GDPR crea una serie di principi che le organizzazioni devono seguire durante il trattamento dei dati personali. I principi sono i seguenti.
Il GDPR definisce le circostanze in cui le aziende possono trattare legalmente i dati personali. Un'organizzazione deve stabilire e documentare la propria base giuridica prima di raccogliere qualsiasi dato. L'organizzazione deve comunicare questa base agli utenti al momento della raccolta dei dati. Non può modificare la base a posteriori a meno che non abbia il consenso dell'utente per farlo.
Le possibili basi giuridiche includono:
Secondo il principio di limitazione delle finalità del GDPR, i titolari del trattamento devono avere una finalità identificata e documentata per la raccolta dei dati. Il titolare del trattamento deve comunicare tale finalità agli utenti al momento della raccolta e può utilizzare i dati solo per tale finalità indicata.
I titolari del trattamento possono raccogliere solo la quantità minima di dati necessaria per soddisfare la finalità dichiarata.
I titolari del trattamento devono adottare misure ragionevoli per garantire che i dati personali in loro possesso siano accurati e aggiornati.
Il GDPR richiede rigorose politiche di conservazione ed eliminazione dei dati. Le aziende possono conservare i dati solo fino al raggiungimento della finalità specificata per la raccolta di tali dati e devono eliminarli quando non ne hanno più bisogno.
I titolari del trattamento e i responsabili del trattamento devono applicare protezioni aggiuntive a determinate tipologie di dati personali.
I dati di categoria speciale includono dati altamente sensibili come la razza e la biometria di una persona. Le organizzazioni possono trattare i dati di categorie speciali solo in circostanze molto limitate, ad esempio per prevenire gravi minacce alla salute pubblica. Le aziende possono trattare i dati di categorie speciali anche con il consenso esplicito dell'interessato.
I dati sulle condanne penali possono essere controllati solo dalle autorità pubbliche. I responsabili del trattamento possono elaborare queste informazioni solo su indicazione di un'autorità pubblica.
I titolari del trattamento devono ottenere il consenso di un genitore prima di trattare i dati dei bambini. Devono adottare misure ragionevoli per verificare l'età degli interessati e le identità dei genitori. Se raccolgono dati da bambini, i titolari del trattamento devono presentare informative sulla privacy in un linguaggio adatto ai bambini.
Ogni stato del SEE stabilisce la propria definizione di "bambino" ai sensi del GDPR. Queste vanno da "chiunque abbia meno di 13 anni" a "chiunque abbia meno di 16 anni".
Le organizzazioni con più di 250 dipendenti devono tenere un registro del trattamento dei dati. Le organizzazioni con meno di 250 dipendenti devono conservare i registri se trattano dati altamente sensibili, se trattano i dati regolarmente o se trattano i dati in un modo che rappresenta un rischio significativo per gli interessati.
I titolari del trattamento devono documentare aspetti quali i dati che raccolgono, ciò che fanno con tali dati, le mappe del flusso di dati e le misure di salvaguardia dei dati. I responsabili del trattamento devono documentare i titolari del trattamento per i quali lavorano, i tipi di trattamento che eseguono per ciascun titolare del trattamento e i controlli di sicurezza che utilizzano.
Ai sensi del GDPR, la responsabilità ultima della conformità spetta al titolare del trattamento dei dati. Ciò significa che il titolare del trattamento deve garantire ed essere in grado di dimostrare che i suoi responsabili del trattamento di terze parti soddisfano tutti i requisiti pertinenti del GDPR.
Il GDPR concede agli interessati determinati diritti sui propri dati. I titolari e i responsabili del trattamento devono onorare questi diritti.
Le organizzazioni devono fornire agli interessati un mezzo semplice per far valere i propri diritti sui propri dati. Questi diritti includono:
In generale, le organizzazioni devono rispondere a tutte le richieste di accesso ai dati degli interessati entro 30 giorni. Le aziende devono in genere soddisfare la richiesta di un interessato a meno che la società non possa dimostrare di avere un motivo legittimo e imperativo per non farlo.
Se un'organizzazione rifiuta una richiesta, deve spiegare il motivo. L'organizzazione deve inoltre comunicare all'interessato come presentare ricorso contro la decisione al responsabile della protezione dei dati dell'azienda o all'autorità di controllo competente.
Ai sensi del GDPR, gli interessati hanno il diritto di non essere vincolati da processi decisionali automatizzati che potrebbero avere un impatto significativo su di loro. Ciò include la profilazione, che il GDPR definisce come l'utilizzo dell'automazione per valutare alcuni aspetti di una persona, come la previsione delle sue prestazioni lavorative.
Se un'organizzazione utilizza decisioni automatizzate, deve fornire agli interessati un modo per contestare tali decisioni. Gli interessati possono anche richiedere che un dipendente umano riveda qualsiasi decisione automatizzata che li riguardi.
I titolari del trattamento e i responsabili del trattamento devono informare in modo proattivo e chiaro gli interessati sulle attività di trattamento dei dati, compresi i dati che raccolgono, cosa ne fanno e come gli interessati possono esercitare i loro diritti sui dati.
Queste informazioni devono in genere essere comunicate tramite un'informativa sulla privacy presentata all'interessato durante la raccolta dei dati. Se l'azienda non raccoglie dati personali direttamente dagli interessati, le informative sulla privacy devono essere inviate ai soggetti entro un mese. Le aziende possono anche includere questi dettagli nelle informative sulla privacy accessibili al pubblico sui loro siti web.
Il GDPR richiede ai titolari e ai responsabili del trattamento di adottare misure per prevenire l'uso improprio dei dati personali e proteggere gli interessati da eventuali danni.
I titolari e i responsabili del trattamento devono implementare misure di sicurezza atte a tutelare la riservatezza e l'integrità dei dati personali. Il GDPR non richiede particolari controlli, ma stabilisce che le aziende devono adottare misure sia tecniche che organizzative.
Le misure tecniche includono soluzioni tecnologiche, come piattaforme di gestione delle identità e degli accessi (IAM), backup automatici e strumenti di sicurezza dei dati. Sebbene il GDPR non richieda esplicitamente la crittografia dei dati, si consiglia alle organizzazioni di utilizzare la pseudonimizzazione e l'anonimizzazione laddove possibile.
Le misure organizzative includono la formazione dei dipendenti, valutazioni continue dei rischi e altre politiche e processi di sicurezza. Le aziende devono inoltre seguire il principio della protezione dei dati fin dalla progettazione e per impostazione predefinita durante la creazione o l'implementazione di nuovi sistemi e prodotti.
Se un'azienda prevede di trattare i dati in un modo che rappresenta un rischio elevato per i diritti degli interessati, deve prima condurre una valutazione d'impatto della protezione dei dati (DPIA). I tipi di trattamento che potrebbero attivare una DPIA includono, tra gli altri, la profilazione automatizzata e il trattamento su larga scala di categorie speciali di dati personali.
Una DPIA deve descrivere i dati utilizzati, il trattamento previsto e la finalità del trattamento. Deve identificare i rischi del trattamento e i modi per mitigarli. Se esiste un rischio significativo non mitigato, l'organizzazione deve consultare un'autorità di controllo prima di procedere.
Un'organizzazione deve nominare un responsabile della protezione dei dati (DPO) se monitora gli interessati su larga scala o tratta dati di categoria speciale come attività principale. Anche tutte le autorità pubbliche devono nominare i DPO.
Il DPO ha la responsabilità di garantire che l'organizzazione rimanga conforme al GDPR. I compiti principali includono il coordinamento con le autorità per la protezione dei dati, la consulenza all'organizzazione sui requisiti del GDPR e la supervisione delle DPIA.
Il DPO deve essere un funzionario indipendente che risponde direttamente al livello dirigenziale più alto. L'organizzazione non può vendicarsi contro il DPO per aver svolto le sue funzioni.
Le organizzazioni devono segnalare la maggior parte delle violazioni di dati personali all'autorità di controllo pertinente entro 72 ore. Se la violazione rappresenta un rischio per gli interessati, l'organizzazione deve anche informarli. Le organizzazioni devono informare direttamente gli interessati a meno che la comunicazione diretta non sia irragionevole, nel qual caso un avviso pubblico è accettabile.
I responsabili del trattamento che subiscono una violazione devono informare i titolari del trattamento pertinenti senza ingiustificato ritardo.
Qualsiasi azienda al di fuori del SEE che tratta regolarmente i dati dei residenti del SEE o tratta dati particolarmente sensibili deve nominare un rappresentante all'interno del SEE. Il rappresentante si coordina con le autorità governative per conto dell'azienda e funge da punto di contatto per le questioni di conformità al GDPR.
Il GDPR stabilisce le regole su come le organizzazioni condividono i dati personali con altre aziende all'interno e all'esterno del SEE.
Un titolare del trattamento può condividere i dati personali con responsabili del trattamento e altre terze parti, ma questi rapporti devono essere regolati da accordi formali sul trattamento dei dati. Tali accordi devono delineare i diritti e le responsabilità di tutte le parti in relazione al GDPR.
I responsabili del trattamento di terze parti possono trattare i dati solo secondo le indicazioni del titolare del trattamento. Non possono utilizzare i dati del titolare del trattamento per i propri scopi. Un responsabile del trattamento deve ottenere l'approvazione del titolare del trattamento prima di condividere i dati con un sub-responsabile.
Un titolare del trattamento può condividere i dati con una terza parte situata al di fuori del SEE solo se il trasferimento dei dati soddisfa almeno uno dei seguenti criteri:
La conformità al GDPR è un processo continuo e i requisiti di un'organizzazione possono cambiare man mano che raccoglie nuovi dati e intraprende nuovi tipi di attività di trattamento.
Le soluzioni per la sicurezza e la conformità dei dati come IBM Security Guardium possono aiutare a semplificare il processo di raggiungimento e mantenimento della conformità al GDPR. Guardium è in grado di rilevare automaticamente i dati regolati dal GDPR, applicare regole di conformità per tali dati, monitorare l'utilizzo dei dati e consentire alle organizzazioni di rispondere alle minacce alla sicurezza dei dati.