Privacy, tutti i passi verso il regolamento Gdpr europeo

La crescente digitalizzazione dei processi delle imprese e l’integrazione fra clienti, aziende e fornitori hanno cambiato il tema della privacy. Tutto ciò ha portato alla nascita di misure legislative ad hoc, come il nuovo Regolamento generale dell’Ue sulla protezione dei dati (Gdpr). Ma quali saranno le reali implicazioni del provvedimento e come farsi trovare pronti rispetto alle scadenze che lo contraddistinguono?

Il tema è stato al centro di un workshop promosso nei giorni scorsi da EY nella sua sede di Roma.

Dopo oltre vent’anni dall’emanazione della Direttiva 95/46/CE del Parlamento Europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, la tecnologia ha mutato il mondo: Internet era uno strumento per pochi e se ne intravedevano appena le ricadute lavorative, gli smartphone non esistevano, i social network erano solo nella fantasia dei loro creatori.

In questo nuovo contesto, sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea (GUUE), in data 4 maggio 2016, i testi del Regolamento UE 2016/679 in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

Il Regolamento (General Data Protection Regulation, Gdpr) innova la legislazione in materia di protezione dei dati personali, alla quale dovranno adeguarsi, entro il 25 maggio 2018, tutte le imprese private, gli Enti pubblici e le Pubbliche Amministrazioni dei singoli Stati Membri.

Altro elemento di recente introduzione, discusso nel corso del workshop, è stato l’approccio ‘risk-based’ introdotto dal Gdpr, declinato nello strumento previsto dall’articolo 35 del Gdpr del Privacy Impact Assessment (PIA). Condurre un’analisi d’impatto privacy è funzionale a identificare i rischi relativi alla privacy e le responsabilità correlate, fornire input per la progettazione di sistemi compliant con il principio di ‘privacy by design’, nonché misurare l’impatto privacy di un sistema nuovo o soggetto a modifiche significative.

 Per un approccio consistente alla PIA, devono quindi essere identificati i rischi a cui sono soggetti i trattamenti oggetto dell’analisi, individuando i principali eventi potenzialmente dannosi e valutando la gravità di possibili conseguenze in relazione al contesto di riferimento e agli strumenti utilizzati.