GDPR SPIEGATO IN PAROLE POVERE A CHI HA ANCORA CAPITO POCO

Il 25 maggio entrerà in vigore il GDPR (Regolamento Generale sulla Protezione dei Dati), un nuovo regolamento europeo a cui dovranno adeguarsi tutti i Paesi membri. I titolari del trattamento dei dati sanno bene di che si tratta e si apprestano a conformarsi alle nuove disposizioni ma i comuni cittadini e, soprattutto, chi non ha un PC o uno smartphone (e considera ancora Internet come un ‘universo misterioso’) si chiede cosa deve fare, come deve prepararsi all’imminente evento. I dati devono essere protetti? E perché? Da chi? Cosa cambierà? Tutto questo può chiederselo la zia che usa un cellulare di quelli semplici, che serve solo per chiamare, o chiunque sia ‘digiuno’ in materia di web e di parole strane pronunciate dagli addetti ai lavori. Dal giornale o dal TG sentono sempre più spesso parlare di GDPR, sanno che è un nuovo regolamento europeo creato per la sicurezza dei dati personali di ognuno di noi. Ciò che sfugge è il meccanismo. Cosa cambia, in pratica? Chi deve fare cosa?

 

Quale tesoro deve custodire il GDPR?

Le suddette persone ‘digiune del web’ sentono parlare di informazioni virtuali da proteggere, tracce che lasciamo online oppure eseguendo operazioni digitali.

Il Garante della Privacy Antonello Soro e gli altri Garanti europei si occuperanno del controllo di chi dovrà adeguarsi a questo nuovo regolamento per proteggere le informazioni delle persone fornite quando vanno dal medico, prelevano la pensione o vanno al supermercato. Quei dati sono raccolti nei computer per registrare tutte le operazioni compiute durante il giorno. Ora che i computer sono tutti collegati tra loro per scambiarsi informazioni nel mondo in tempo reale grazie alla ‘rete’, i nostri dati sono diventati un piccolo tesoro che qualcuno potrebbe violare, che malintenzionati potrebbero rubare e rivendere a scopo pubblicitario oppure per fare truffe. Ma c’è di peggio: gli hacker, capaci anche di entrare online in un conto in banca, di rivendersi dati personali rubati, di chiedere addirittura riscatti e chissà cos’altro.

 

Chi è responsabile dei nostri dati?

I governi devono tutelare i dati dei cittadini perché, nell’era digitale, è possibile sapere tutto di tutti (o quasi).

Se un hacker riesce ad entrare nel conto corrente di una persona ed a svuotarlo, la banca è responsabile per non aver predisposto sistemi di controllo e prevenzione: perciò, dovrà rimborsare la somma sottratta al suo cliente. E’ quanto ha stabilito la sentenza del Tribunale di Roma n. 16221/16 del 31.08.2016, non è di certo una novità introdotta dal GDPR. La responsabilità si fa ancora più serrata con l’entrata in vigore della nuova normativa europea nei confronti di chi non riesce a tutelare abbastanza i dati sensibili. Chiunque sia tenuto a raccogliere, elaborare, trattare e custodire i dati delle persone (banca, INPS, medico, ecc.) ora è responsabile di quei dati. I Garanti europei obbligano a tenere al sicuro in modo ‘adeguato’ quei dati.

Considerando il carattere di globalità della rete, il mondo intero dovrebbe ‘adeguarsi’ in questo senso, ma non tutti i Paesi, purtroppo, pensano che sia un dovere garantire libertà e dignità ai cittadini.

Insomma, a tutti i ‘digiuni del web’ diciamo che non devono fare nulla, dal 25 maggio in poi; chi ‘custodisce’ i dati delle persone dovrà conformarsi al GDPR. Per stare tranquilli, già dal 26 maggio, i più diffidenti potrebbero, ad esempio, fare una capatina in banca per chiedere se l’istituto di credito è in regola con le nuove disposizioni.

E’ rimasto davvero poco tempo per organizzarsi e prepararsi. A che punto siamo in Europa?

 

I Paesi europei sono pronti? L’indagine Reuters

Un’indagine Reuters si è posta la domanda, di recente: le autorità nazionali sono pronte ad accogliere il GDPR? Anche l’Italia? Reuters l’ha chiesto a 24 soggetti, tra cui autorità statali, inviando un questionario ai garanti nazionali e regionali d’Europa a distanza di un paio di settimane dall’entrata in vigore del nuovo regolamento Ue (previsto per il 25 maggio).

L’indagine mostra l’impreparazione in molti Paesi europei da parte di chi dovrebbe assicurare l’applicazione del GDPR. Anche i digiuni del web avranno capito che l’impresa non è facile. Sono tante le misure previste, più o meno comprensibili (diritto all’oblio, portabilità dei dati, data protection officer, ecc.), ma dietro a tutte queste grandi parole la realtà è lacunosa.

L’indagine Reuters ha rivelato che 17 soggetti su 24 chiamati ad applicare il GDPR in Europa sono impreparati, non pronti. Sono impreparati non perché non abbiano ‘studiato’ ma per una notevole carenza di fondi e staff rispetto a tutto il lavoro che c’è da fare. Lo stesso Antonello Soro, presidente dell’Autorità garante per la protezione dei dati personali in Italia, ha risposto così a Reuters: “Strutture e risorse sono insufficienti. L’autorità nazionale avrebbe disponibile un budget di 25 milioni di euro ma ne servirebbero almeno il doppio. Stesso dicasi per lo staff: si contano 122 elementi mentre ce ne vorrebbero almeno 300”.

Un articolo del Sole24ore scrive: “E’ probabile che il Garante per la privacy, dopo il 25 maggio, conceda un periodo di ‘tolleranza’ di 6 mesi comportandosi in maniera più elastica nei casi di infrazione”. Lo stesso articolo si conclude con un punto interrogativo: “Non è previsto un periodo di ‘tolleranza’ di 6 mesi?”. La risposta è: non è chiaro. Il Garante per la privacy dovrebbe allinearsi alla posizione intrapresa dalla Commission nationale de l’informatique et des libertés (il suo omologo francese) consentendo una sorta di standby di 6 mesi, periodo in cui le aziende ritardatarie potrebbero evitare sanzioni. Tuttavia, le imprese dovranno dimostrare di aver avviato un piano di adeguamento, consapevoli delle priorità del regolamento.

Chi non si adegua al GDPR rischia multe salatissime: da 10 a 20 milioni di euro (o, rispettivamente, dal 2% al 4% sui ricavi annui).

Per fissare un appuntamento contattami 800 96 70 78

Grazie, a presto.

Francesco Ciano

Francesco Ciamo CEO di Più Sicurezza
Francesco Ciano

5 Commenti.