Come essere conforme al regolamento GDPR
Essere GDPR compliant significa essere conformi al Regolamento europeo per la protezione dei dati ed informati su cosa prevede.
Analizziamo al meglio insieme tutto ciò che c’è da sapere per essere oggi in regola!
GDPR compliant: significato
A livello generico, essere GDPR compliant vuol dire conformarsi al Regolamento europeo per la protezione dei dati. Ma se entriamo nello specifico ciò significa anche che è necessario:
- rispettarne principi e regole;
- assumere un atteggiamento proattivo e non passivo di fronte alla legge;
- adottare procedure organizzative e di sicurezza affinchè il rischio sui dati trattati sia basso;
- verificare che l’intera catena dei responsabili, dai titolari ai responsabili esterni, sia compliant;
- formare ed informare addetti e responsabili del trattamento su cosa prevede il Regolamento nello specifico;
- comprendere cosa sono i dati personali e quelli sensibili;
- essere in grado di gestire in modo ottimale un’eventuale violazione dei dati quale è il Data Breach;
- sapere come comportarsi per proteggere i dati personali in via preventiva.
Per essere compliant al GDPR è necessario agire con accountability. Con questo termine si intende l’essere:
- responsabili e degni di fiducia: e quindi adottare accorgimenti adeguati, verificando i responsabili non solo interni ma anche esterni;
- consapevoli di quello che stanno facendo e sapere quali dati trattano, dove essi si trovano, di chi sono, come e perché vengono utilizzati;
- competenti: in grado di fare un’analisi dei rischi ed adottare in base ai risultati conseguenti contromisure necessarie per proteggere i dati.
GDPR compliant: novità 2024 per essere in regola
Il GDPR, tecnicamente Regolamento Ue 2016/679, è divenuto applicabile negli Stati membri il 25 maggio 2018.
Il General Data Protection Regulation è nato da precise esigenze di:
- protezione delle persone fisiche e trattamento alla libera circolazione dei dati personali;
- esigenze di tutela sempre più avvertite dai cittadini UE;
- armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo;
- risposta, necessaria e urgente, alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica.
L’11 gennaio 2024 è stato approvato un nuovo Codice di condotta specifico per il trattamento dei dati da parte delle agenzie del lavoro.
Esso risponde alla sentita necessità di definire norme chiare per la sicurezza dei dati sensibili dei candidati in ambito di attività di ricerca e selezione del personale. Le principali novità introdotte sono:
- tutela dei candidati a posizioni lavorative per evitare possibili discriminazioni nell’accesso al mercato del lavoro;
- impegno nel trattare solo dati strettamente necessari all’istaurazione del rapporto di lavoro;
- divieto di indagini su opinioni politiche, religiose;
- divieto di effettuare preselezioni sulla base di informazioni che riguardano stato matrimoniale, gravidanza o eventuali handicap.
In quest’ottica, il Garante ha accreditato un Organismo di monitoraggio con il compito di verificare l’osservanza del codice così da garantire la piena efficacia delle nuove regole.
Decalogo sull’uso delle tecnologie di Intelligenza Artificiale
Ad oggi, l’Intelligenza Artificiale, permea sempre di più gli ambiti della vita dei singoli cittadini. E, in futuro, sarà ancora più presente. Se questi sistemi possono aiutare l’esperienza umana in molti campi, è pure sempre necessario porre un controllo affinchè l’applicazione sia adeguata e corretta.
In particolare, a riguardo dello spinoso tema della sua applicazione al settore sanitario, il GDPR ha reso pubblico un Decalogo. Esso rappresenta un’importante guida sulla realizzazione di servizi sanitari nazionali attraverso sistemi di AI, occupandosi di chiarire aspetti quali
- basi giuridiche del trattamento;
- principi di accountability;
- ruoli della privacy;
- integrità e riservatezza;
- correttezza e trasparenza;
- principi di conoscibilità, non esclusività e non discriminazione algoritmica; valutazione d’impatto sulla protezione dei dati;
- qualità dei dati;
- privacy by design e by default;
- supervisione umana.
Nell’ambito dei sistemi di Intelligenza Artificiale, è inoltre opportuno menzionare una notifica effettuata OpenAI, rea di aver violato in parte la normativa privacy. Nello specifico, a seguito di un provvedimento di limitazione provvisoria, l’Autorità ha ritenuto che gli elementi acquisiti configurano più illeciti rispetto a quanto stabilito dal Regolamento UE.
OpenAI ha quindi trenta giorni di tempo per comunicare la propria difensiva in merito alle presunte violazioni effettuate.
Quali rischi corrono i dati personali
I principali rischi che corrono i dati personali sono:
- distruzione, ove vengano cancellati per sbaglio o volontariamente e non sia più possibile recuperarli;
- mancata disponibilità, qualora file e documenti vengano bloccati e non sia più consentito l’accesso;
- perdita, la maggior parte delle volte in caso di furto di computer contenente i dati personali;
- alterazione, qualora qualcuno li modifichi intenzionalmente o per errore;
- divulgazione, ove qualcuno li diffonda tramite mail o social network;
- accesso, quando qualcuno vede dei dati che non doveva vedere perché accede ad un file che avrebbe dovuto essere protetto.
Come è evidente, affinché il rischio sia basso, è necessario adottare tutte le contromisure, informatiche ed organizzative, necessarie.
Tra queste, di certo è fondamentale formare in modo adeguato addetti, responsabili esterni e il titolare stesso.
A livello generico, per prevenire o gestire episodi di data breach è necessario:
- effettuare test periodici;
- sviluppare e mantenere i sistemi;
- accertare che la sicurezza sia costruita all’interno delle operazioni di sistema;
- impedire perdita, modifica ed utilizzo erroneo di dati dell’utente;
- proteggere riservatezza, autenticità ed integrità dei dati;
- mettere in sicurezza attività di progetto e supporto alle attività;
- rispettare i canoni di adeguatezza;
- crittografare i dati sensibili;
- utilizzare l’autenticazione a due fattori;
- porre grande attenzione alla sicurezza fisica.