GDPR e cloud computing. L’unione europea interviene per la sicurezza informatica


Nelle aziende di tutta Europa è iniziato il count down per l’applicazione del General Data Protection Regulation (GDPR), il Regolamento UE n. 679/2016 sulla protezione dei dati personali.
Entrato in vigore Il 24 maggio 2016, sarà pienamente attivo dal 25 maggio 2018, abrogando la Direttiva 95/46/CE, assumerà quindi immediatamente valore legale al momento dell’emissione non concedendo nessun tempo di recepimento.

 

Il nuovo paradigma del GDPR

Il GDPR ha l’obiettivo di unificare la protezione dei dati personali entro l’Unione Europea, ma il suo raggio d’azione si spinge oltre i confini del vecchio continente trattando anche il tema, talvolta spinoso, dell’esportazione dei dati al di fuori dell’area UE.

La decisione del Legislatore Europeo è stata quella di rivedere i testi di legge per la protezione dei dati personali e rinnovarli per renderli adeguati all’evoluzione digitale che stiamo respirando. Cloud computing, gestione big data, social, Internet of Things, in questo panorama completamente trasformato, cambia anche la prospettiva della disciplina: si passa da un concetto di Privacy a quello di Data Protection.

Il cambiamento è paradigmatico se prima le vecchie normative incentravano l’attenzione su i diritti dell’interessato, il GDPR mette al centro del suo testo i doveri e le responsabilità del titolare del trattamento dei dati regolando attraverso sanzioni e obblighi, attività, misure tecniche e organizzative.
La tutela degli utenti e dei dati personali si gioca su un piano diverso. Due sono gli aspetti su cui le aziende dovranno focalizzare la loro attenzione saranno: responsabilizzazione e gestione del rischio.

Il concetto di accountability (responsabilizzazione) è esemplificato dal nuovo ruolo che titolare del trattamento dovrà ricoprire. Non solo dovrà assicurare il rispetto dei “principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza limitazione della conservazione e integrità e riservatezza” così come sono indicati nel Testo ma dovrà anche essere in grado di comprovarli.

Inoltre, avrà anche l’obbligo di mettere in atto misure tecniche e organizzative adeguate per assicurare la protezione dimostrandone e comprovandone la loro conformità al Regolamento.

Da un lato, sicuramente il GDPR offre ai titolari una maggiore discrezionalità nel decidere finalità e mezzi del trattamento dei dati personali, ma dall’altra parte li obbliga alla dimostrazione e alla documentabilità e al pianificare le loro attività.

 

IL GDPR in Azienda

Il GDPR comporterà un grande cambiamento nell’azienda, e naturalmente anche all’interno di quelle società che impiegano il cloud computing per l’elaborazione dei dati. Per fare solo un esempio,per assicurare una “privacy by design” esplicata nel GDPR le aziende saranno chiamate a valutare l’impatto sulla protezione dei dati (Data Protection Impact Assessment (DPIA)), identificando le problematicità e garantendo a tutti i loro clienti la sicurezza in tutti processi di elaborazione e archiviazione in cloud di dati.

Nel DPIA, quindi si dovrebbero identificare i dati che sono in uso e la loro protezione, localizzare la posizione di tutti i repository dei dati, considerare la loro elaborazione e l’accesso. Ma non finisce qui. Bisogna anche tenere presente i Paesi coinvolti. Se i dati vengono esportati in Paesi non soggetti al GDPR, come gli Stati Uniti, i Provider dei dati sono tenuti comunque a garantire il rispetto dei requisiti di protezione su questi dati, AWS è impegnata fortemente in questo senso.

Il cambiamento che porta il GDPR è una sfida che le aziende devono raccogliere e ha tutte le potenzialità per spingere le organizzazioni verso l’innovazione, per esempio con nuove tecnologie per la sicurezza.