il 24 maggio 2016 è entrata in vigore la legge europea sulla privacy dei dati digitali, il GDPR (General Data Protection Regulation).
Il GDPR si applica a qualsiasi organizzazione che gestisca o elabori i dati personali appartenenti ai residenti dell’Unione europea. Stabilisce rigorosi requisiti di divulgazione delle violazioni ed impone rigide sanzioni in caso di mancata conformità.
Il termine ultimo per l’adeguamento agli obblighi di legge scadrà il 25 maggio 2018.
Entro tale data si dovrà effettuare l’analisi dei rischi (compresi quelli informatici) relativi al trattamento del dato. Ovvero si dovrà procedere con una valutazione dei rischi per proteggere i dati personali dalla perdita, dalla distruzione accidentale o illegale, per impedire qualsiasi forma illegittima di trattamento.
Il Titolare del trattamento dei dati dovrà adottare politiche e attuare misure, non solo informatiche, adeguate a garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme a tutte le disposizioni del Regolamento.
Cosa succede se una ditta non si adegua alle misure di sicurezza indicate? una multa fino a 10 milioni di euro o il 2% del fatturato (la cifra più alta delle due).
Un’analisi dell’Osservatorio Security & Privacy del Politecnico di Milano indica che su un campione di 136 grandi aziende italiane il 45% non conosce o non ha ancora affrontato il problema, il 9% ha già implementato un progetto strutturato di adeguamento mentre il 46% ha ancora in corso un’analisi dei requisiti.
L’errore di fondo è dato dalla percezione che la materia sia esclusivo appannaggio del settore legale senza tenere in considerazione gli obblighi di applicazione alla struttura informatica aziendale, ovvero l’implementazione tecnica.
Da uno studio della Gartner risulta che il 40% delle ditte europee saranno a rischio sanzione entro il 2020.
Il regolamento UE 2016/679 è reperibile in lingua italiana sul sito del Garante della Privacy