Come preservare la propria privacy nell’era del digitale: il GDPR

Ci troviamo a vivere nell’era del digitale dove Big Data e Internet of Things sono ormai protagoniste nella  quotidianità delle persone.

L’avvento di Internet  ha sicuramente portato grandi opportunità ma ha esposto privati ed aziende  a un grande rischio: la violazione della privacy. I dati personali che i primi rilasciano in varie modalità devono poi essere conservati e trattati adeguatamente dalle aziende. La rete espone i dati a violazioni e furti. Basti considerare che, secondo i dati rilasciati dalla Commissione Europea, dal 2016 hanno avuto luogo 4.000 attacchi cyber al giorno, con un incremento del 300% rispetto al 2015.  La privacy quindi è costantemente in pericolo. Dal 25 maggio 2018, con effetto immediato, è entrato  in vigore  il “Regolamento europeo in materia di protezione dei dati personali (GDPR – General Data Protection Regulation)” voluto dall’Unione Europea e che dovrà essere osservato da tutte le imprese e gli enti operanti nel territorio europeo appunto, inclusi quelli che hanno sede extracomunitaria ma gestiscono informazioni di cittadini europei.

Con il termine dati personali si intende qualunque informazione relativa a un individuo, collegata alla sua vita privata, professionale o pubblica. La materia può riguardare nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi Ip di computer.

Con il nuovo regolamento si promuove la cyber security, ponendo l’accento su tre aspetti importanti:

1. Rafforzare i diritti dei cittadini: garantendo un maggiore controllo dei dati personali e una migliore informazione circa il trattamento, le finalità, i destinatari nonché le categorie di dati in questione; riconoscendo il diritto all’oblio, ovvero la possibilità di cancellare i propri dati o di spostarli ad altra organizzazione; permettendo di presentare reclami all’Autorità per la protezione dei dati cui bisogna dar fine sino a sanzioni e multe (fino ad oggi al reclamo difficilmente si dà seguito).
2. Riconosce alle organizzazioni maggiori responsabilità e obblighi: adottando soluzioni che riconoscono la loro conformità con il Gdpr, dotandosi di un responsabile dei dati e documentando obbligatoriamente i dati che sono stati elaborati.
3. Aumento dell’autorità e della responsabilità in capo agli Addetti alla Privacy.

Tale regolamento prevede la sussistenza di un valido motivo per accedere ed archiviare dati di un individuo, il quale oltre ad essere informato potrà richiedere la cancellazione delle informazioni che lo riguardano in qualsiasi momento, quando:

• i dati non sono più necessari;
• non acconsente al trattamento dei dati personali o ritira il consenso;
• le informazioni sono state trattate illegittimamente.

Il Gdpr si rivolge anche alle compagnie assicurative, riconoscendo che le stesse sono autorizzate alla raccolta e al trattamento dei dati personali secondo “un interesse giustificato dell’organizzazione” e solo nei casi per cui le informazioni richieste sono necessarie allo scopo in questione. Inoltre  tali dati devono essere trattati proporzionalmente ossia mediante un esame circoscritto e mirato delle fonti.

Ancora, per le compagnie assicurative è stato riconosciuto il principio di sussidiarietà, secondo il quale l’obiettivo dovrebbe essere conseguito nel modo meno invasivo possibile.

La GDPR introduce determinati obblighi che riguardano direttamente le compagnie di assicurazioni:

1. Registro dei dati di elaborazione. È un registro obbligatorio per tutte le società che trattano dati personali e che può essere controllato dall’Autorità di Vigilanza. Il registro raccoglierà i dati indicando lo scopo, perchè, come sono protetti, da dove provengono e se possono essere utilizzati per altri scopi.
2. Data Protection Impact Assessment (DPIA). Questo viene reso obbligatorio per le operazioni di elaborazione dei dati ad alto rischio e riguarda le società che utilizzano categorie speciali di dati personali su larga scala.
3. Responsabile della Protezione dei Dati. Figura già esistente ma il ruolo è rafforzato. Ad esempio, la nomina di un Responsabile della Protezione dei Dati è obbligatoria per le società, come le compagnie di assicurazioni, che eseguono valutazioni di rischio individuali su larga scala.

Di seguito alcuni suggerimenti utili per le imprese.

1. Investire nella sicurezza informatica: le aziende che adotteranno misure di sicurezza per i propri dati, saranno premiate dall’autorità di regolamentazione.
2. Sottoscrivere un’assicurazione cyber: stipulare una polizza assicurativa conferisce maggiori garanzie contro gli attacchi cyber grazie alla consulenza di esperti, in più, in caso di danni, sono previsti rimborsi finanziari. Prima di procedere alla stipula della polizza assicurativa, verrà effettuata un’analisi sistemica aziendale.
3. Notificare le violazioni responsabilmente: è importante attuare procedure che aiutino ad individuare gli attacchi alla privacy in modo tempestivo poiché le aziende hanno settantadue ore entro le quali rilevare l’attacco e informare le persone lese, pena una sanzione, che va ad accumularsi a quella prevista per la violazione stessa il cui ammontare può arrivare al 4% del volume d’affari aziendale e fino a 20milioni di euro.
4. Comprendere il rischio: potrebbe risultare di grande aiuto nella prevenzione di attacchi, l’infondere la cultura del rischio all’intera struttura aziendale, in quanto è tutta l’azienda ad essere esposta a potenziali violazioni, per tanto tutti i soggetti devono essere in grado di prevedere ed eventualmente affrontare determinati rischi.
5. Aggiornare le procedure regolarmente: è necessario eseguire delle verifiche regolari al passo con l’evoluzione tecnologica, affinché si rimanga conformi e si migliorino le gestioni del rischio.

In conclusione il General Data Protection Regulation (Gdpr) armonizza le normative degli stati membri, allineandole allo sviluppo delle tecnologie digitali e della loro sempre maggiore diffusione, delineando delle linee da seguire e delle condizioni più rigide di trattamento dei dati affinché si fronteggino con successo e si riducano i cosiddetti cyber attacchi.