GDPR, come l’Europa ribalta il concetto di sicurezza

Trasparenza del trattamento, ripartizione delle responsabilità, maggiori diritti per gli interessati, inasprimento del profilo sanzionatorio sono alcuni punti focali della riformata disciplina in materia di privacy, ma veramente importante è il nuovo approccio alla sicurezza che viene sostanzialmente ribaltato

Pubblicato il 14 Lug 2017

Giusella Finocchiaro

presidente della Commissione incaricata di adeguare la normativa italiana in materia di dati personali al Regolamento Ue 679/2016

privacy-160422000823

Si parla sempre di più del cosiddetto GDPR (General Data Protection Regulation) cioè del nuovo Regolamento europeo n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Ma non abbastanza del nuovo approccio alla sicurezza che caratterizza il Regolamento, ribaltando la precedente concezione.

Come è noto, il Regolamento sarà applicabile dal 25 maggio 2018, data in cui la direttiva 95/46/CE – che dettava il quadro normativo precedente – cesserà di aver effetto. Alla base della spinta riformatrice la volontà (e la necessità) di uniformazione del diritto tra gli Stati membri, nonché l’aspirazione, ancora una volta ribadita, alla creazione di un mercato unico digitale europeo.

Il Regolamento ha innovato l’assetto normativo in materia di protezione dei dati personali, cercando di adeguarsi alle esigenze di una realtà digitale e interconnessa. D’altronde, il modello normativo precedente si è rivelato obsoleto, giacché individuava un’unica tipologia di scambio di dati: dall’interessato al titolare del trattamento. Al contrario, oggi il modello è quello di condivisione e di cogestione di dati e di informazioni e questo ha imposto una revisione del paradigma non solo organizzativo ma, appunto, regolatore.

Trasparenza del trattamento, ripartizione delle responsabilità, maggiori diritti per gli interessati, inasprimento del profilo sanzionatorio (le sanzioni arriveranno fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo): sono questi alcuni punti focali della riformata disciplina in materia di privacy che il Regolamento rende più stringente.

Tuttavia, poco si parla ancora del nuovo approccio alla sicurezza che viene sostanzialmente ribaltato. Il nuovo Regolamento non detta più un elenco di specifiche misure da adottare. In questo ambito, a regole dettagliate e circostanziate il Regolamento preferisce un approccio di largo respiro che ben possa applicarsi anche alle future e innovative misure di sicurezza che gli sviluppi tecnologici in costante evoluzione saranno in grado di realizzare. Per tale ragione, il Regolamento lascia al titolare del trattamento ampia discrezionalità in sede di determinazione di tali misure. Un unico vincolo: la valutazione dei rischi unitamente alla considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento.

In altre parole, il titolare deve procedere all’individuazione delle misure di sicurezza sulla base delle specificità del trattamento che si appresta ad effettuare. Vero è infatti che i rischi cui son esposti i dati sono intrinsecamente correlati alle caratteristiche del trattamento: il trattamento di dati dei dipendenti di una impresa a conduzione familiare non è paragonabile al trattamento sistematico di dati sensibili effettuato da una struttura sanitaria pubblica operante a livello nazionale.

Si tratta, dunque, di una valutazione case-by-case, cui si aggiunge un ulteriore requisito: la valutazione deve essere preliminare rispetto al trattamento stesso. Occorre cioè effettuare in primo luogo un’analisi dei flussi informativi e una valutazione dei rischi che incombono su di essi, per decidere poi quali misure adottare. La scelta delle misure di sicurezza interverrà dunque solo a seguito dell’analisi della tipologia di dati oggetto del trattamento e della valutazione dell’impatto delle operazioni su di essi.

La valutazione dei rischi e la scelta che ne consegue dovranno inoltre essere sottoposte a continuo monitoraggio per determinarne la costante adeguatezza. L’insorgenza di nuovi rischi ovvero la cessazione di situazioni di potenziale pericolo impongono al titolare di procedere a un riesame della valutazione, adeguandola in ragione del nuovo contesto. L’eventuale rivalutazione dovrà tradursi nell’adozione di misure di sicurezza adeguate rispetto alle nuove rilevate situazioni di rischio.

Tutela preventiva e autovalutazione sono dunque le parole d’ordine del nuovo assetto regolatore. Insieme ad analisi, scelta, proceduralizzazione, implementazione, monitoraggio e presidio.

Unitamente all’autovalutazione e alla gestione a carico del titolare, non può mancare una documentazione precisa delle scelte, motivate, e del processo. Il Regolamento riserva particolare attenzione alla tenuta di registri delle attività di trattamento e, in generale, ad ogni altro documento che attesti tanto le operazioni svolte, quanto l’iter decisionale che ha portato ad eseguirle. Tale insieme di documenti assume una duplice valenza: da un lato, fungono da prova della conformità alle disposizioni del Regolamento; dall’altro, costituiscono un prezioso strumento di rendicontazione.

In conclusione, siamo di fronte ad un approccio nuovo basato sulla accountability, che richiede necessariamente competenze integrate: tecnologiche, organizzative e giuridiche. Si tratta dell’ennesima conferma dell’idea, condivisa anche in altri settori, che solo una visione complessiva della sicurezza possa garantire una tutela completa e pervasiva dei dati e delle informazioni.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2