/https://www.webnews.it/app/uploads/2016/02/shutterstock_326786744.jpg)
Nel tempo di due anni legislazioni nazionali, garanti, aziende e cittadini dovranno prepararsi a un cambiamento rilevante dell’approccio al trattamento dei dati personali e alla loro protezione. E questo varrà in tutto il continente europeo, senza distinzioni. Il
Che tipo di risk management deve essere adottato da chi tratta i dati personali dei suoi clienti? E come inquadrare il Data Protection Officer, e in quale rapporto è con il Data Controller? Che lavoro richiede il privacy by design agli sviluppatori di sistema? Chi gestisce le violazioni dei dati e chi ne risponde? E cosa si intende per anonimizzazione e che tipo di tecnica dovranno usare le telco? Quando si considera l’impatto delle norme che Bruxelles e Strasburgo si sono date per aggiornare l’Europa unita al mondo dei social network e del cloud, ci si rende conto che 24 mesi passeranno molto velocemente e non c’è giorno in cui non valga la pena lavorare per farsi trovare pronti.
In Oracle Italia oggi si parla della nuova direttiva europea protezione dati personali #ready4Eudatap #security pic.twitter.com/pQAXuqFG2N
— Oracle Italia (@OracleItalia) January 29, 2016
Pianificare
Pianificare oggi per essere pronti fra 24 mesi. Questo è il principio dell’evento organizzato da Europrivacy lo scorso 29 gennaio a Milano. Sei grandi campi, risk management, privacy by design, la nuova figura del DPO, data breach, servizi IT e profilazione contro anonimizzazione, si incrociano con le sfide organizzative, di budget, tecnologiche e legislative che si dovranno vincere per stare al passo. La morale finale di una mattinata di relazioni (
.@sergiofumag Da Ratifica #GDPR 24 Mesi Per Adeguare Organizzazione Processi Tecnologia #TakesTime #Ready4EUdataP pic.twitter.com/2LKXvwaFcO
— Europrivacy (@europrivacy) January 29, 2016
Armonia e certificazione
L’approccio della
Le autorità garanti lavoreranno insieme per assicurare un diritto molto più ristretto di oggi: il titolare del trattamento avrà 72 ore di tempo per informare le autorità (a meno che non sia in grado di dimostrare che la violazione non ha messo autenticamente a rischio i dati del cliente), entro una cornice che dovrebbe mandare in soffitta il registro dei titolari di trattamento. Quello che ha fatto impazzire tutti con la
#DataProtectionDay today. New data protection rules bring #FundamentalRights into the digital age.
— Věra Jourová (@VeraJourova) January 28, 2016
Questa armonia ha bisogno di certificazioni, di standard. Il redesign avrà effetti pratici sui sistemi informatici, che dovranno occuparsi di minimizzare il trattamento dei dati personali, dare trasparenza, compatibilità, sicurezza; impatto che riguarda anche le tecniche di anonimizzazione previste per evitare l’opt-in del consenso, ferme restando le principali misure di protezione dei dati in modo che non portino all’identificazione dei soggetti. Molto interessante anche il rapporto contrattuale e disciplinare istituito fra Data Processor, cioè una figura professionale, fisica o giuridica, che ha il compito di elaborare i dati secondo le istruzioni del Data Controller, cioè il titolare del trattamento , il quale però ha una responsabilità autonoma quando non rispetti le istruzioni date dal controller.
Questo meccanismo chiarisce meglio tutti quei passaggi che fino ad oggi hanno complicato terribilmente la vita di chi ha cercato di ottenere un risarcimento danni. I legali hanno spesso utilizzato provvedimenti di urgenza e ottenuto risultati per sfinimento. Dal 2018 la titolarità del trattamento dei dati personali riguarderà tutti i soggetti che trattano i dati, a risalire, piattaforme comprese.