Il GDPR per la protezione dei dati, seconda parte

Nell’ultimo articolo riguardante il GDPR, ovvero il regolamento che entrerá in vigore nel 2018 per tutelare la privacy dei dati personali degli utenti e dei consumatori di serivzi, abbiamo trattato il tema del Data Protection Officer (Dpo) meglio conosciuto in Italia come il Responsabile di protezione dei dati personali.

Continuando l’esplorazione nelle linee del nuovo regolamento, si scopre che il GDPR lascia piú libertá di decisione ai titolari rispetto a chi e cosa determina la finalitá ed i mezzi con cui si trattano i dati personali. Dall’altro lato, questa libertá ha come conseguenza il dovere di essere in grado di dimostrare le ragioni che hanno portato alle stesse decisioni e manifestare che tali scelte adempiano e rispettino la nuova normativa. Per questo motivo i titotalri dovranno documentare interamente il processo di raccolta dati, tramite la compilazione del Data Protection Impact Assessment (DPIA). Questo documento consiste nel descrivere precisamente tutte le modalitá attraverso cui l’impresa verifica che i sistemi, le applicazioni e le ulteriori tecnologie informatiche siano in linea con il GDPR e di conseguenza siano “privacy proof“.

Per quanto riguarda la privacy, il GDPR stabilisce due tipologie della stessa. La cosí detta “privacy by design†che obbliga le organizzazioni ad incorporare la tutela dei dati fin dall’idealizzazione del progetto. Per cui la protezione della privacy é parte fondamentale fin dalla progettazione dei sistemi informatici che raccoglieranno le delicate informazioni.

Inoltre, il GDPR parla anche di “privacy by default†e si riferisce all’impostazione predefinita della tutela della privacy come prioritá nei processi aziendali. Di conseguenza, i dati personali che vengono raccolti tramite qualsiasi mezzo devono sempre essere tratti secondo un percorso predefinito e standardizzato che regolino anche la divulgazione.

In conclusione, Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Information Security & Privacy, afferma che le compagnie che lavorano col Big Data e la raccolta dati in generale devono accelerare i tempi rispetto all’introduzioni di iniziative per adempiere le norme presenti nel GDRP perché altrimenti molte di esse si faranno trovare impreparate l’anno prossimo.