Il GDPR Privacy introduce problematiche tutt’altro che nuove. Privacy e sicurezza dei dati e non sono concetti recenti per quanto si possa pensare, ma risalgono indietro nel passato perché ogni sistema di comunicazione, sia analogico, sia digitale presenta un un’alea di rischio.
Il fattore tempo è determinante, tanto in fase di attacco, quanto in fase di protezione e difesa. E’ sempre una questione di tempo E ogni dettaglio è rilevante, non può essere in alcun modo trascurato.
Una soluzione esiste sempre ed è per tutti questi motivi che è consigliabile monitorare i sistemi di comunicazione che utilizziamo per poter rilevare eventuali violazioni ed intervenire al più presto.
Durante la guerra fredda tra il ‘69 e l’ ‘83 le forze armate statunitensi diedero vita ad Arpanet, una rete di comunicazione progettata per soddisfare essenzialmente esigenze di efficienza e di continuità a prescindere dagli eventi, quindi anche in caso di attacco.
Immaginiamola come la ragnatela di un ragno: i punti di congiunzione tra i vari filamenti sono rappresentati dai nodi. Ciascun nodo è autonomo indipendente rispetto agli altri in modo e se si rompono, gli altri restano integri. Così Arpanet era stata progettata per fare in modo che in caso di guasti o problemi ad uno o più nodi, gli altri avrebbero potuto continuare a veicolare le informazioni.
Negli anni 90 nasce il world wide web, quello che oggi è più comunemente conosciuto come internet. Fu chiaro fin da subito che la libera divulgazione esponenziale in maniera gratuita di informazioni in un ambiente internazionale ed incontrollato comportasse dei rischi per i diritti e le libertà degli individui.
La commissione europea ha subito affrontato la problematica emanando una serie di direttive cui ciascuno stato membro dell’unione doveva uniformarsi con un proprio atto legislativo nazionale.
Difficile da credere, ma l’italia è stata la prima, forse seconda dietro solo alla Francia. Nel tempo è riuscita a tenere il passo, anche introducendo innovazioni, per esempio prevedendo la figura del Garante per la privacy. In europa verrà ufficializzato solo successivamente con l’istituzione del Garante europeo per la protezione dei dati (EDPS). Non è un caso se l’attuale garante in carica è di nazionalità italiana.
Ad un certo punto la commissione acquisisce la consapevolezza che la delicatezza della materia e la continua evoluzione tecnologica richiedessero un approccio uniforme da cui partire per elaborare un piano di azione da continuare a sviluppare.
Nel 2012 iniziano i lavori di studio che portano alla promulgazione del Regolamento Europeo noto come GDPR 679 del 2016.
E’ entrato ufficialmente in vigore il 25 maggio 2018 ed è valido e vincolante per ogni stato membro UE. Ogni notizia o informazione circa proroghe e slittamenti è pertanto falsa.
Partendo dal presupposto che la tecnologia è in continua evoluzione e che pare incontrollabile, ciò non significa che la si debba subire passivamente. Il GDPR introduce quindi il concetto di accountability ovvero di responsabilità, da applicarsi tanto alle imprese ed ai professionisti, quanto ai singoli individui fino ad indurli ad una maggiore consapevolezza e ad una valutazione dei rischi caso per caso.
L’azienda che effettua il trattamento deve scegliere modalità e risorse tecniche di cui abbia effettivamente padronanza. Non ha senso dotarsi di una mega infrastruttura tecnologica se poi non si hanno le competenze tecniche o le risorse finanziarie per gestirle.
Contrariamente al pensiero comune ad imprenditori e professionisti, tutti i dati personali che appartengono ad un individuo sono protetti dal GDPR sulla Privacy, non solo quei dati che noi conosciamo come dati sensibili.
Per i dati sensibili, definiti “categorie particolari di dati personali”, il GDPR Privacy sancisce il divieto di raccolta e trattamento (art. 9).
Sono obbligati tutti gli imprenditori ed i liberi professionisti, a prescindere dalle dimensioni e dal fatturato che si trovino a raccogliere e trattare dati personali.
Possono essere anche i dati del personale dipendente, dei collaboratori, dei fornitori, non solo dei clienti.
La privacy deve essere disegnata ed inserita in un autonomo processo all’interno del progetto di business al pari della logistica, del bilancio, delle risorse umane, pena l’applicazione di sanzioni pari al 2 % del fatturato lordo, fino al 4% nei casi di particolare gravità, con il limite massimo di 10 milioni di euro.
Il GDPR stabilisce i principi di privacy by design e privacy by default.
Per Privacy by design si intende che la privacy deve ora essere inserita nel business plan e ciò vale tanto per le nuove aziende di nuova costituzione quanto per quelle già in essere.
La privacy by default limita la raccolta ed il trattamento del minor numero possibile di dati, cioè a quelli strettamente necessari all’esecuzione di un contratto o agli adempimenti richiesti dalla legge.