GDPR

Messa a norma e Adeguamento GDPR

GDPR: come vengono protetti i tuoi dati

Nell’era digitale, diventa sempre più difficile salvaguardare la propria privacy. Se possiedi uno smartphone, è probabile che almeno durante l’utilizzo di alcune applicazioni sia attiva la geolocalizzazione.

Dal pc è possibile risalire all’indirizzo IP, che identifica univocamente il tuo dispositivo nella rete. Inoltre, noterai che molto spesso le pubblicità che vedi comparire, o i risultati suggeriti dal motore di ricerca, sono in linea con i tuoi interessi e con ricerche precedenti.

Questo è indicativo del fatto che navigare su internet lascia delle tracce, che se in cattive mani potrebbero essere utilizzate a tuo danno.

Se dopo quest’introduzione sei allarmato, non preoccuparti: il problema è noto, e per questo motivo nel 2016 è entrato in vigore il GDPR, ossia il Regolamento generale sulla protezione dei dati (dall’inglese: “General Data Protection Regulation”), reso effettivo a partire dal 2018.

Questo regolamento, ad opera della Commissione europea, si pone l’obiettivo di proteggere i dati personali di cittadini e residenti europei.

Cosa prevede il GDPR

Il GDPR prevede di dare all’utente il controllo sull’utilizzo dei propri dati: l’utente deve quindi essere informato sui dati raccolti e sulla loro finalità e prestare il consenso. Per quanto riguarda i dati più sensibili, l’autorizzazione fornita dall’utente è considerata valida solo se esplicita.

Per questo motivo, non si considerano validi i consensi dati, ad esempio, continuando lo scorrimento nella pagina. In ogni caso, l’utente può ritirare il proprio consenso in qualsiasi momento.

Ogni organizzazione deve documentare e monitorare le attività di trattamento dei dati personali, non soltanto per quel che avviene all’interno dell’organizzazione, ma anche da terzi che potrebbero entrare in possesso di quei dati a partire dal suo sito.

Nel caso in cui i dati vengano violati, l’organizzazione deve informare le autorità di protezione dei dati e l’utente entro tre giorni.

Ma che cosa si intende con dati personali? Si considerano tali tutti i dati che consentono di identificare univocamente una persona. Tra questi sono inclusi:

  • Dati che consentono il riconoscimento dell’utente, come il nome, l’indirizzo IP, la localizzazione, ma anche altri tipi di caratteristiche peculiari che potrebbero essere usate per identificare la persona.
  • Dati genetici, come analisi del DNA della persona interessata.
  • Dati biometrici, ad esempio foto del volto.
  • Dati sulla salute, fisica e mentale, e informazioni sull’assistenza sanitaria.
  • Dati sulla fedina penale della persona, sui reati e sulle condanne.

È importante specificare che non tutti i dati relativi ad una persona sono dati personali: questa definizione si applica solo per i dati che possono rivelare in qualche modo l’identità della persona. Inoltre, il GDPR è pensato per proteggere i dati degli individui, ma non delle organizzazioni.

Come viene garantita l’applicazione del GDPR

Il GDPR prevede già in sé due principi che aumentano i livelli di privacy garantiti. Il primo principio è detto “privacy by design”: indica la necessità di incorporare la privacy già nella fase di programmazione di un progetto, cioè intende prevenire l’invasione della privacy, anziché correggerla a posteriori. Il secondo principio, strettamente legato al primo, è quello della “privacy by default”, che prevede che le misure di privacy debbano essere attuate come impostazioni predefinite.

Ad esempio, quindi, dove è richiesto all’utente di autorizzare al trattamento dei dati, non dovrebbe apparire preselezionata la casella di consenso.

Perché il GDPR venga effettivamente applicato, viene introdotto il concetto di responsabilizzazione del titolare, cioè di chi determina la modalità di trattamento dei dati e la finalità della raccolta degli stessi. In caso di mancata adesione al regolamento, le sanzioni partono dai soli richiami per arrivare, in caso di recidiva, a salate multe.

Se l’organizzazione è parte della Pubblica Amministrazione, supera i 250 dipendenti oppure opera in larga scala con dati sensibili, è obbligatoria la nomina di un responsabile della protezione dei dati, che deve garantire l’adesione al GDPR per tutta l’azienda.

Come puoi contribuire alla protezione dei dati

Se a questo punto sei ancora preoccupato che i tuoi dati non siano al sicuro, ci sono molte azioni che puoi intraprendere per difenderti dai pericoli del web. La prima è l’acquisto consapevole di dispositivi in grado di connettersi ad internet.

Quando decidi quindi di comprare un nuovo tablet o uno smartphone di ultima generazione, assicurati che il tuo nuovo dispositivo preveda l’archiviazione dei dati secondo gli standard di riservatezza e che sia possibile inserire delle password per proteggere la tua privacy.

Un altro passo fondamentale è prestare attenzione quando viene richiesto di accettare la policy sulla protezione della privacy o i cookies, che sono dati che vengono forniti dal dispositivo al sito per essere archiviati e, all’occorrenza, recuperati.

Spesso, infatti, potresti cedere alla tentazione di cliccare su “Accetta” prima ancora di avere un’idea chiara del sito sul quale stai navigando, pur di far scomparire quell’odioso banner il prima possibile. In realtà è frequente che i siti richiedano anche quale tipo di cookies si intende accettare, se solamente quelli necessari o tutti, o a chi possano essere divulgati i dati e a che fini.

Meglio quindi perdere qualche istante in più prima di accettare, per non rischiare che una quantità eccessiva di dati personali venga fornita a terzi.

Infine, se possiedi un’azienda con un proprio sito web, assicurati di rispettare gli standard stabiliti dal GDPR. Questo prevede non solo l’assunzione di un responsabile, ma anche prendere alcune precauzioni. È innanzitutto necessario che i dipendenti che si occupano dei dati siano informati sui requisiti e che conoscano nozioni di sicurezza informatica.

Inoltre, è bene assicurarsi di sapere esattamente chi abbia accesso ai dati e dove questi siano custoditi. Come indicato dal GDPR, bisogna accertarsi che sia previsto un metodo consono di richiesta del consenso al trattamento dei dati agli utenti e un registro dei consensi ottenuti inclusivo di eventuali revoche.

Ovviamente, questo comporta anche la necessità di protocolli per l’accesso, la rettifica e la cancellazione dei dati da parte dell’utente nel caso in cui questo lo desideri.