Rivoluzione nel digital: le nuove regole UE

La protezione del dato personale al centro della trasformazione digitale aziendale

E’ un binomio stretto quello che intercorre tra il Regolamento UE 679/16 e la trasformazione digitale delle aziende.

Il GDPR, oltre a definire nuovi diritti per le persone, nuove figure di garanzia e nuovi obblighi per le aziende, ha riflessi diretti nel settore dell’innovazione digitale.

Nel nuovo Regolamento la definizione data protection ha preso il posto della parola privacy. Il termine scelto ha un significato molto più vasto e pone l’accento su un cambio di prospettiva: il problema di fondo non è semplicemente essere in possesso di dati personali, ma saperli gestire nel modo corretto alla luce dell’evoluzione digitale sempre più imperante.

E’ un mondo nuovo quello che ci attende, a seguito anche dell’accelerazione digitale imposta dall’emergenza sanitaria ancora in corso.

Una pandemia che ci ha messo di fronte ad un modo nuovo di lavorare, attraverso le regole smart working, o nel gestire le  necessità quotidiane mediante un sms o una APP: abbiamo fatto ricorso ad un sms per richiedere un medicinale attraverso la ricetta medica elettronica o ordinato cibo a domicilio mediante una App di food deliveroo.

Il Titolare del trattamento, oggi, è chiamato quindi a rispondere con attenzione e forte responsabilità alle prescrizioni del GDPR in quanto tanto più l’innovazione digitale si impone tanto più la protezione dei dati personali diventa un tema centrale.

La consapevolezza della criticità del trattamento di dati personali in ogni processo di innovazione digitale deve elevarsi a elemento acquisito dalla cultura aziendale

Il GDPR ha sancito due principi cardine, sul tema, ossia il Data protection by design e Data protection impact assessment, che hanno notevoli conseguenze pratiche sul piano organizzativo e operativo dell’azienda.

In particolare il Privacy by design, lo ricordiamo, riguarda il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale con le relative applicazioni informatiche di supporto.

Nello specifico il principio è costituito dalla prescrizione per cui:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

Il profilo del rischio di una violazione dei dati personali, che l’applicazione dei due citati principi dovrebbe essere in grado di contenere, richiama necessariamente il concetto di sicurezza informatica, ossia l’insieme di metodologie e tecniche da impiegare perché un’impresa possa proteggere il proprio patrimonio di informazioni garantendo la disponibilità e l’integrità dei dati, nonchè la salvaguardia del patrimonio informativo, riducendo al contempo – a livelli accettabili- i rischi connessi all’accesso alle informazioni (intrusioni, furto di dati, ecc.).

A tutto ciò si aggiunga il fenomeno cd. dell’INTERNET of THINGS (IoT) alla cui base ci sono   gli oggetti intelligenti (i cosiddetti “smart objects”).

Con tale espressione non ci riferiamo più solo ai più comuni oggetti tecnologici, quali computer, smartphone e tablet, ma soprattutto a quegli oggetti che ci circondano all’interno delle nostre case, al lavoro, nelle città, nella vita di tutti i giorni. L’Internet of Things nasce proprio qui: dall’idea di portare nel mondo digitale gli oggetti della nostra esperienza quotidiana.

Gli esempi sono numerosissimi: a partire dalle automobili, inizialmente rese connesse “solo” tramite box GPS-GPRS con finalità assicurative, oggi, invece, dotate di connettività della strumentalizzazione già in fase di produzione, fino ad arrivare agli oggetti concernenti l’ambiente domestico (dalla domotica cablata a soluzioni wireless sempre più alla portata di tutti, caratterizzate da servizi in cloud e dall’uso crescente dell’Intelligenza Artificiale caratterizzata da oggetti gestibili a distanza o con l’uso della voce).

Il rapporto fra azienda e innovazione non può quindi prescindere dal rispetto del GDPR, fermo restando che tutto il Regolamento ruota intorno all’accountability del Titolare che deve essere in grado di giustificare le scelte compiute in tema di data protection rispetto alla complessità dell’intera organizzazione di cui risponde in termini di compliance.

Eleonora Mataloni

Condividi
Cart
Your cart is currently empty.