Articolo a cura di Alessia Martalò, consulente SEO a Milano
Il 25 maggio del 2018 entrerà in vigore il nuovo regolamento UE sulla protezione dei dati personali. Si tratta del Regolamento n. 2016/679 meglio noto come GDPR, acronimo di General Data Protection Regulation.
Quali sono i punti cardine del GDPR? Innanzitutto, entreranno in vigore regole più chiare sul consenso e l’informativa. Il trattamento automatizzato dei dati personali sarà soggetto a limiti ben precisi. I dati personali al di fuori dell’UE potranno essere trasferiti ma solo seguendo protocolli molto rigidi. E, infine, vengono fissate nuove norme in caso di data breach – violazione dei dati.
Soprattutto l’ultimo punto mira a proteggere gli utenti e la loro privacy. Prima dell’entrata in vigore del GDPR, i ricatti e le estorsioni da parte di hacker rappresentano una possibilità più concreta di quanto si immagini. Facciamo un esempio pratico: un hacker che riesca a violare la banca dati di un motel potrebbe, effettuando qualche banale ricerca sui social network, ricattare un/a fedifrago/a scoperto/a a soggiornare con il/la suo/a amante. Con l’entrata in vigore del GDPR, tutto ciò non sarà possibile, perché tutti coloro che gestiscono i dati personali degli utenti dovranno proteggerli – con procedure ben più rigorose – per evitare situazioni di questo tipo.
Come sarà possibile tutto ciò? Il GDPR introduce la cosiddetta accountability, ovvero la responsabilità da parte dei titolari del trattamento della corretta gestione dei dati personali. Come suggerito dall’esempio precedente, dunque, bisognerà tenere bene a mente i rischi che il trattamento dei dati potrebbe comportare in caso di procedure non regolamentari.
Banalmente anche un mancato aggiornamento di un plugin WordPress potrebbe rappresentare una falla nella sicurezza nonché una porta d’accesso ad un hacker esperto. È quello che è successo, nel febbraio del 2017, quando oltre 1 milione di siti sono stati violati a causa del mancato e tempestivo aggiornamento della versione del popolare CMS.
Il titolare del trattamento dei dati, in caso di data breach, è obbligato a notificare – entro 72 ore – la violazione al Garante della privacy. In base al GDPR, inoltre, se tale violazione potrebbe comportare una minaccia alla privacy degli utenti, il titolare è anche obbligato a informare tutti gli interessati e spiegare come intende procedere per contenere i danni.
Interessante è il fatto che le aziende potranno essere sanzionate fino a 20 milioni di euro. Nel caso di un’impresa o multinazionale la multa può rappresentare fino al 4% del suo fatturato annuo. Cifre molto importanti che impongono grande attenzione e sono indice di quanto le nuove normative siano più attente ai dati personali degli utenti, in un’epoca in cui tutto è ormai digitalizzato.
Nel frattempo, è notizia recente che la commissaria UE Vera Jourova avrebbe ‘bacchettato’ alcuni Paesi ritardatari, tra cui l’Italia. Allo stato attuale, infatti, soltanto due Paesi – Austria e Germania – sono pronti per l’entrata in vigore della nuova normativa.
“Tutti hanno diritto alla tutela dei propri dati personali. Il 25 maggio il rafforzamento delle norme UE sulla protezione dei dati diventerà realtà: è un grande progresso e vogliamo che vada a beneficio di tutti”, ha commentato Andrus Ansip, responsabile per il Mercato unico digitale.