Il Gdpr, regolatore dell’informazione sui dati personali

LinkedIn

La crescente raccolta e circolazione di dati personali alimentata da Internet e dalla diffusione dei devices touch e destinata, con lo sviluppo tecnologico e l’intelligenza artificiale, ad aumentare in modo esponenziale nei prossimi anni, ha posto l’Europa di fronte a due fondamentali questioni. La prima relativa alla riservatezza e sicurezza nella gestione dei dati delle persone fisiche, la seconda alla loro libera circolazione all’interno dello spazio europeo. Ed è nell’affreontare questi due aspetti cruciali, stabilendo regole uguali per tutti i Paesi dell’Unione, che nasce la nuova normativa sulla privacy, meglio conosciuta con l’acronimo Gdpr, entrata in vigore in Italia il 25 maggio scorso. Il regolamento pone una grandissima enfasi sulla gestione del dato. Il titolare, cioè l’impresa o il  singolo che promuove la raccolta dei dati, deve essere in grado di gestirne il ciclo di vita, giustificare le ragioni per cui lo raccoglie, definire per quanto tempo lo terrà e cancellarlo al termine prestabilito. Deve anche essere capace di reperirlo nella propria infrastruttura e renderlo disponibile per consultazione o per fornirlo all’interessato o a soggetti terzi individuati da quest’ultimo. Ciò, in altre parole significa che deve dimostrarsi sempre capace di controllare il dato da quando nasce a quando muore introducendo anche una data di fine  gestione. Riguardo alla sicurezza deve poter dimostrare di saperlo gestire e amministrare in totale protezione. A questo proposito mentre nella vecchia normativa le misure di sicurezza erano riferite ai rischi, in quella nuova vanno oltre in quanto devono risultare adeguate nel complesso. Nel caso di violazione dei dati, il Gdpr introduce per il titolare il duplice obbligo, di notifica al garante e di comunicazione agli interessati e a tutti coloro che potrebbero subire un danno, entro 72 ore. Ciò richiede da parte del titolare non solo la capacità di controllo della infrastruttura ma anche quella di reazione veloce. Come è facile intuire si tratta per le nostre imprese e la pubblica amministrazione di una innovazione operativa e culturale di indubbio rilievo che avrà un impatto significativo non solo sulle modalità di raccolta e utilizzo dei dati ma anche sulle organizzazioni e sulle responsabilità che gravano su chi gestisce il dato e chi lo custodisce. A questo proposito, un rilevante cambiamento introdotto dalla nuova privacy riguarda il rapporto tra titolare e fornitori, rapporto che si fa molto più stretto. In un’epoca di cloud, questi ultimi che molto spesso gestiscono interi processi, svolgono infatti un ruolo importantissimo nel trattamento dei dati personali. La nuova legge introduce il principio di responsabilità solidale fra il titolare e il cliente fornitore secondo il quale, a certe condizioni, il fornitore può essere chiamato a rispondere in solido dell’intero danno o dell’intera sanzione che viene comminata al titolare. Questo ovviamente porta a un coinvolgimento sempre più forte dei responsabili, titolare e  fornitori insieme, nella gestione aziendale dei dati. Ma la nuova legge introduce un altro punto chiave destinato favorire la circolazione dei dati, in base a quanto inizialmente si era prefisso il legislatore europeo: la portabilità e cioè il diritto da parte di ciascuno interessato ad avere i propri dati in possesso del  titolare in formato digitale o anche di chiedere di trasmetterli a un altro titolare in modo leggibile dal computer. Un principio che per le imprese e le banche italiane abituate a raccogliere e a gestire i dati della clientela in modo esclusivo significa entrare in un’arena molto più competitiva e allargata di quella nella quale si sono finora mosse.

Share.

Comments are closed.