Ogni giorno utilizziamo servizi digitali che raccolgono, elaborano e conservano i nostri dati personali: dai social network alle app di navigazione, dai servizi bancari online agli acquisti eCommerce. Ma cosa succede realmente alle nostre informazioni? Chi le controlla e come vengono protette? Il General Data Protection Regulation (GDPR) rappresenta la risposta dell’Unione Europea a queste domande sempre più pressanti.
Tematiche come Big Data, Internet of Things, Mobile, geolocalizzazione, Social e servizi Cloud offrono innumerevoli opportunità per il sistema economico, ma sollevano anche importanti questioni in materia di privacy e protezione dei dati. È in questo contesto di trasformazione digitale che ha trovato piena concretizzazione il GDPR, il nuovo regolamento europeo sulla privacy che ha rivoluzionato l’approccio alla protezione dei dati personali.
Attraverso le ricerche dell’Osservatorio Cybersecurity & Data Protection della POLIMI School of Management, questo articolo esplora il mondo del GDPR, fornendo una guida completa per comprendere cos’è, come funziona e come le aziende possono adeguarsi efficacemente a questa normativa fondamentale.
Il GDPR, acronimo di General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati), rappresenta una normativa europea per la protezione dei dati personali che ha ridefinito completamente l’approccio alla privacy nell’era digitale.
Questo regolamento costituisce uno strumento fondamentale per garantire la sicurezza dei dati personali attraverso investimenti mirati, ruoli organizzativi specifici, metodologie avanzate e strumenti tecnologici appropriati.
La normativa europea ha innalzato significativamente l’attenzione verso la tutela dei dati personali, favorendo la crescita della fiducia dei cittadini europei nell’economia e nella società digitale. Il GDPR non rappresenta semplicemente un insieme di regole da rispettare, ma una filosofia di approccio ai dati che pone al centro la protezione della privacy come diritto fondamentale della persona.
L’obiettivo principale del regolamento è creare un quadro normativo uniforme che bilanci le esigenze dell’innovazione tecnologica con la protezione dei diritti fondamentali degli individui, garantendo che lo sviluppo digitale avvenga nel rispetto della dignità e della privacy delle persone.
Per comprendere appieno l’ambito di applicazione del GDPR, è però essenziale definire cosa significa esattamente dato personale:
per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (da qui in poi, «interessato»). Tali dati possono essere poi essere distinti in Provided Data (forniti consapevolmente e volontariamente), Observed Data (raccolti automaticamente ad esempio tramite cookie), Derived Data (prodotti da altri dati in modo relativamente semplice e diretto) e Inferred Data (prodotti utilizzando un metodo analitico complesso).
Il GDPR è il risultato di un lungo percorso legislativo iniziato il 4 novembre 2010, quando la Commissione europea ha elaborato una proposta di riforma della normativa in materia di protezione dei dati personali. Questo processo di revisione è nato dalla necessità di aggiornare una normativa datata 1995 che non riusciva più a rispondere alle sfide del mondo digitale contemporaneo.
Entrato in vigore il 24 maggio 2016, il GDPR è diventato applicabile a partire dal 25 maggio 2018. Il periodo di transizione di due anni ha permesso alla normativa italiana di adeguarsi al regolamento e ai soggetti destinatari – aziende, pubbliche amministrazioni e organizzazioni – di implementare le misure necessarie per conformarsi alla nuova legge sulla privacy.
Questo lasso di tempo è stato fondamentale per permettere alle organizzazioni di comprendere appieno le implicazioni del nuovo regolamento e di sviluppare strategie e strumenti adeguati per garantire la conformità normativa senza compromettere le proprie attività operative.
Il GDPR persegue due scopi fondamentali che hanno guidato la sua creazione e implementazione.
Il primo obiettivo è adeguare la normativa risalente al 1995 alle nuove tecnologie che hanno rivoluzionato il modo in cui i dati vengono raccolti, elaborati e utilizzati. La direttiva precedente non poteva prevedere l’avvento dei social media, dell’Intelligenza Artificiale, del Cloud Computing e delle tecnologie di profilazione avanzata.
Il secondo obiettivo è armonizzare e uniformare la normativa a livello europeo, creando un quadro normativo comune che elimini le frammentazioni legislative tra i diversi Stati membri. Questo approccio unificato facilita le operazioni delle aziende che operano in più paesi europei e garantisce un livello di protezione uniforme per tutti i cittadini dell’Unione.
L’avvento del GDPR, ovvero, del nuovo Regolamento europeo sulla Protezione dei Dati Personali, ha letteralmente sconvolto il mercato digitale. Questo Regolamento europeo della privacy ha reso, infatti, necessaria l’introduzione di nuove competenze e strumenti per la gestione del patrimonio informativo aziendale. Tra questi spicca il Data Protection Officer (DPO), una figura professionale specializzata nella protezione dei dati che rappresenta un ponte tra l’organizzazione e l’autorità di controllo.
Il GDPR ha revocato la precedente normativa per la protezione dei dati, ossia la Direttiva 95/46/CE del 24 ottobre 1995, annullando conseguentemente anche le normative nazionali emanate in applicazione della stessa, come il Codice Privacy italiano (decreto 196/2003), almeno nelle parti di diretta trasposizione della direttiva.
Rispetto al Codice Privacy, le definizioni e i principi generali previsti nel GDPR sono rimasti sostanzialmente invariati. Ciò che è cambiato radicalmente è la filosofia della norma: si è passati da un sistema normativo di tipo formalistico, basato sulla previsione di regole formali e su un elenco di adempimenti e misure minime di sicurezza, a un sistema di governance dei dati personali basato su un’alta responsabilizzazione sostanziale del Data Controller, nota come “accountability”.
Al Data Controller è richiesto un approccio proattivo, volto a prevenire e non solo correggere gli errori, dimostrando la conformità al GDPR e l’adeguatezza delle proprie scelte e valutazioni. È stato inoltre introdotto un nuovo approccio metodologico completamente risk-based, basato sulla valutazione e gestione dei rischi come fondamento per le decisioni strategiche.
La tutela dei dati personali non può più essere considerata come un adempimento subordinato al business, ma deve essere un presupposto da considerare già nella fase di progettazione dei processi, dei servizi e dei prodotti. Questo principio, noto come privacy by design, richiede che la protezione dei dati sia integrata nell’organizzazione aziendale fin dalle fasi iniziali di sviluppo.
Oltre al cambio di filosofia, il GDPR ha introdotto novità concrete e operative che hanno trasformato il modo in cui le organizzazioni gestiscono i dati personali. Queste innovazioni spaziano da nuovi obblighi documentali a figure professionali specializzate, fino a un regime sanzionatorio significativamente più severo.
L‘articolo 30 del GDPR introduce l’obbligo per titolari e responsabili del trattamento di mantenere un registro delle attività con cui si tracciano i dati. Questo registro deve documentare tutte le operazioni di trattamento effettuate, le finalità, le categorie di dati coinvolte e i soggetti che vi hanno accesso.. L’articolo infatti dice:
Sia i Titolari che i Responsabili devono tenere un registro dei trattamenti, con la sola esclusione delle società e degli enti con meno di 250 dipendenti. Tale deroga viene meno in alcuni casi specifici come, per esempio, lo svolgimento di un trattamento di dati personali a rischio per i diritti e le libertà dell’interessato e che risulti non occasionale o che includa categorie particolari di dati personali o dati relativi a condanne penali e a reati.
Il registro dei trattamenti rappresenta, quindi, uno strumento fondamentale non soltanto ai fini dell’eventuale verifica da parte del Garante della Privacy, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda, indispensabile per ogni valutazione e analisi del rischio.
Un’altra novità rilevante introdotta dal GPDR è la valutazione d’impatto. In questo caso si parla di stabilire:
qualora un trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare è chiamato a effettuare, prima di procedere al trattamento dei dati, una valutazione d’impatto sui trattamenti che intende realizzare. Per rischio si intende il rischio di impatti negativi sulle libertà e sui diritti degli interessati.
Questa valutazione è richiesta in particolare per trattamenti che prevedono una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato e su un trattamento su larga scala di categorie particolari di dati o dati relativi a condanne penali e a reati (es. sorveglianza sistematica ad ampio raggio di una zona accessibili al pubblico).
La valutazione d’impatto deve analizzare la necessità e proporzionalità del trattamento, valutare i rischi per i diritti e le libertà degli interessati, e definire le misure per affrontare tali rischi, dimostrando la conformità al regolamento.
Il GDPR ha eliminato il concetto di misure minime di sicurezza (ex art. 33 del Codice Privacy). Infatti è prescritto, in capo al Titolare e ai Responsabili, l’obbligo di:
adottare misure tecniche e organizzative adeguate al rischio (a titolo esemplificativo e non esaustivo indichiamo pseudonimizzazione e cifratura; capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali).
La valutazione di queste misure introdotte dal GDPR viene rimessa, caso per caso, al Titolare e al Responsabile in rapporto ai rischi specificamente individuati e va tenuto conto non solo della natura, ambito, contesto e finalità del trattamento, ma anche dello stato dell’arte (evoluzione tecnologica) e dei costi di attuazione.
Altra novità introdotta dal GDPR è l’analisi dei rischi. In questo caso specifico, nel valutare l’adeguato livello di sicurezza, il Titolare ed il Responsabile devono:
effettuare un’analisi dei rischi derivanti dal tipo di trattamento che intendono realizzare, quali quelli didistruzione, perdita, modifica, divulgazione non autorizzata e accesso, in modo accidentale o illegale, ai dati personali trasmessi/conservati o comunque trattati.
L’approccio risk-based richiede una valutazione continua e dinamica dei rischi, che tenga conto dell’evoluzione delle minacce, delle tecnologie disponibili e del contesto operativo dell’organizzazione.
Una delle novità principali introdotte dal GDPR è il Data Protection Officer, o DPO. Questa è una figura con compiti eterogenei, alcuni di natura ispettiva interna (sorvegliare), altri consulenziale (dare pareri), alcuni sono interni all’organizzazione del Titolare, altri esterni (rapporto con gli interessati e con l’autorità di controllo).
Il DPO deve essere nominato obbligatoriamente per enti pubblici, per organizzazioni che effettuano monitoraggio regolare e sistematico su larga scala di interessati o che trattano su larga scala categorie particolari di dati. In tutti gli altri casi, la nomina è facoltativa ma fortemente consigliata.
La figura del DPO è fondamentale per facilitare il rispetto delle disposizioni del GDPR, fornendo competenze specialistiche e supportando l’organizzazione nel mantenimento della conformità normativa.
Il GDPR promuove, tra le altre novità, l’istituzione di meccanismi di certificazione della protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati dai Titolari e dai Responsabili. La certificazione è volontaria e accessibile tramite una procedura trasparente che dovrà essere basata su criteri previamente approvati dalle Autorità di controllo competenti.
L’ottenimento di questa certificazione, però, non riduce le responsabilità in capo al Titolare e al Responsabile del trattamento, ma offre una mera presunzione relativa di conformità che sia il Garante della Privacy, sia l’autorità giudiziaria sono libere di valutare. Infatti, rimangono impregiudicati i compiti e i poteri delle autorità di controllo competenti.
Il GDPR prevede la possibilità per le Autorità nazionali di irrogare sanzioni fino a 20 milioni di euro o, in caso di imprese, al 4% del fatturato globale annuo, a seconda di quale risulti la sanzione più elevata. Le sanzioni più alte si applicano nel caso di:
Questo regime sanzionatorio rappresenta un deterrente significativo e sottolinea l’importanza che l’Unione Europea attribuisce alla protezione dei dati personali.
Il GDPR sancisce una maggiore responsabilità del cosiddetto Data Processor, che può ricevere direttamente richieste da parte dell’Autorità Garante; è direttamente passibile di sanzioni amministrative; può rispondere direttamente per il danno causato dal trattamento non solo se non ha rispettato le istruzioni del Titolare, ma anche se non ha adempiuto agli obblighi del GDPR specificamente diretti ai Responsabili.
Adeguamento al GDPR in Italia Gli impatti che il regolamento europeo per la privacy ha avuto su processi, organizzazione e budget delle imprese sono più che evidenti. È, tuttavia, necessario precisare come l’intera tematica della protezione dei dati personali non sia disciplinata solamente a livello europeo.
In particolare, nel nostro Paese è entrato in vigore il decreto legislativo 101/2018 di adeguamento della normativa italiana al GDPR. Diverse le novità introdotte da tale decreto in materia di Data Protection, specie in ambito diritti degli interessati, esercizio dei diritti riguardanti le persone decedute, consensi del minore e sanzioni amministrative.
In sintesi, lo scopo del provvedimento, in vigore dal 19 settembre 2018 (quindi tre mesi dopo l’attuazione del regolamento europeo) è stato quello di integrare e modificare, nei limiti e all’interno del quadro precisamente stabilito a livello europeo, il Codice Privacy che aveva precedentemente rappresentato la normativa di riferimento in Italia in materia di protezione dei dati. È importante, tuttavia, specificare come il Codice Privacy non sia stato interamente abrogato, ma modificato per garantire coerenza con il regolamento europeo.
Il tema della tutela e della protezione dei dati personali in azienda va oltre l’applicazione del GDPR. I trend propri della Trasformazione Digitale, come Big Data, Internet of Things, Digital Advertising e altri, richiedono nuove tecnologie, modelli organizzativi, competenze e regole per garantire insieme l’innovazione e la protezione degli asset informativi aziendali.
Il GPDR viene incontro sia all’esigenza delle aziende di utilizzare tecnologie per la raccolta sia al trattamento di un sempre maggior numero di informazioni, utili per diverse attività, fra cui il Marketing e la clusterizzazione. L’impatto sul mondo dei Media è quindi rilevante e tocca temi fondamentali quali la profilazione a scopo di Marketing e la gestione dei cookies.
Alle disposizioni del GDPR si aggiunge anche il Regolamento ePrivacy, ancora in corso di approvazione, nel quale verranno disciplinate attività di Marketing, eCommerce, call center e pubblicità online con effetti più che rilevanti sui media europei e mondiali.
Se applicato adeguatamente, il GDPR non dovrebbe comportare particolari difficoltà nel mondo dello Smart Working, ma i rischi di una violazione sono sempre presenti. Infatti, le informazioni aziendali in possesso di un dipendente che lavora da casa sono altamente sensibili e le occasioni per violarne la privacy non mancano: accedendo al database aziendale, contattando i clienti o comunicando su Skype.
Aiutare gli smart worker a non infrangere le regole in materia di Data Protection richiede formazione adeguata, in modo che i lavoratori comprendano la sensibilità dei dati in loro possesso e adottino comportamenti appropriati per la loro protezione.
La gestione dei Big Data presenta sfide significative per la conformità al GDPR. Puntando sulla responsabilizzazione del titolare del trattamento, l’obiettivo della normativa è garantire un livello di sicurezza conforme al grado di rischio dei dati. Gestire i Big Data con consapevolezza richiede l’implementazione di tecniche di anonimizzazione, pseudonimizzazione e minimizzazione dei dati. Le organizzazioni devono sviluppare strategie che permettano di sfruttare il potenziale analitico dei Big Data mantenendo la conformità normativa, attraverso l’adozione di tecnologie privacy-preserving e metodologie che garantiscano la protezione dell’identità degli interessati.
Con la crescente diffusione dei dispositivi IoT, aumentano anche i rischi per la privacy degli utenti. Infatti, come dimostrano i numerosi attacchi hacker subiti da imprese e privati, gli oggetti connessi – proprio perché collegati alla rete – presentano un’elevata vulnerabilità informatica, se non adeguatamente protetti. Per conciliare la crescita del mercato IoT con la protezione della privacy, il GDPR regolamenta la raccolta dei dati provenienti da questi dispositivi, facendo sì che la sicurezza di tali dati sia una priorità non solo in fase di vendita di tali prodotti, ma già durante la loro progettazione (Privacy by design).
L’Intelligenza Artificiale e il Machine Learning richiedono particolare attenzione per la trasparenza degli algoritmi, il diritto alla spiegazione delle decisioni automatizzate, e la gestione del bias nei modelli predittivi. Le organizzazioni devono garantire che i sistemi automatizzati rispettino i principi di equità e non discriminazione.
Le tecnologie Blockchain presentano sfide uniche per l’applicazione dei diritti degli interessati, in particolare il diritto alla cancellazione, data la natura immutabile dei dati registrati. Le organizzazioni devono sviluppare soluzioni tecniche innovative per garantire la conformità normativa.
Il Cloud Computing richiede particolare attenzione nella selezione dei fornitori, nella definizione dei contratti di servizio, e nella gestione dei trasferimenti internazionali di dati, specialmente dopo le modifiche al quadro normativo sui trasferimenti verso Paesi terzi.
Il GDPR rappresenta molto più di una semplice normativa: è un catalizzatore per la costruzione di un ecosistema digitale più sicuro, trasparente e rispettoso dei diritti fondamentali. Il regolamento continua a evolversi attraverso l’interpretazione delle autorità di controllo, le decisioni della Corte di Giustizia Europea, e l’adattamento alle nuove tecnologie. Le linee guida del Comitato Europeo per la Protezione dei Dati forniscono indicazioni sempre più dettagliate su aspetti specifici del regolamento, mentre l’applicazione extraterritoriale del GDPR ha influenzato significativamente le pratiche globali di protezione dei dati, spingendo molti Paesi a adottare normative simili.
La sua implementazione ha trasformato il modo in cui le organizzazioni gestiscono i dati personali, promuovendo una cultura della privacy che va oltre il mero rispetto degli adempimenti normativi. L’esperienza di questi anni di applicazione dimostra che la protezione dei dati e l’innovazione tecnologica non sono obiettivi contrastanti, ma possono essere perseguiti simultaneamente attraverso un approccio progettuale consapevole e responsabile. Le organizzazioni che hanno abbracciato pienamente i principi del GDPR hanno spesso scoperto che la conformità normativa può essere un fattore di vantaggio competitivo e di differenziazione nel mercato.
Contenuti suggeriti dell’Osservatorio Cybersecurity & Data Protection
