GDPR – Il regolamento UE sulla protezione dei dati

Il GDPR (Regolamento Generale Protezione dei Dati) entrerà in vigore nel 2018, andand a modificare completamente tutte le regole sulla privacy conosciute, ed utilizzate, sino ad ora.

Lo scorso 25 maggio 2016 è entrato in vigore il nuovo Regolamento Generale sulla Protezione dei Dati da tutti conosciuto come GDPR. Tale regolamento (UE 2016/679), che sostituisce la direttiva 95/46/EC del 1995, è stato approvato dalla Commissione Europea con l’obiettivo di rafforzare e unificare la protezione dei dati personali all’interno dei confini Europei. Il GDPR, che sarà applicato a tutti gli stati membri a partire dal 25 maggio 2018, obbligherà le imprese a documentare le scelte in tema di sicurezza e privacy.

La creazione di un regolamento ad-hoc è reso necessario dalla sempre maggiore crescita dei Big Data, dell’utilizzo di strumenti Social e dalla gestione di dati sensibili. Questo scenario pone gli utenti del web davanti a nuovi pericoli dai quali è necessario proteggersi. Il GDPR tenderà a definire la condotta ottimale in merito alla gestione dei dati degli utenti, anche attraverso certificazioni di cyber security.

Il gestore dei dati, sia come titolare, sia come responsabile del trattamento, è tenuto a rispettare nuovi e più onerosi obblighi di sicurezza. Il Regolamento introduce significative restrizioni in tema di protezione dei dati personali e fa della sicurezza uno dei principali pilastri. Introduce criteri specifici e ben determinati e prevede per il Titolare e per il Data Protection Officer (nuova figura responsabile della protezione dei dati personali) l’obbligo di documentare le scelte operate in tema di sicurezza al fine di dimostrarne l’adeguatezza.

Per coloro che non rispettano le normative si potrà incorrere in sanzioni fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale dell’esercizio precedente (art. 83). Ad ogni modo, in caso di sventurato evento, le valutazioni dell’autorità si baseranno anche sull’impegno profuso dall’azienda per la protezione dei dati.

Tra le varie misure descritte ci interessa citare l’obbligo di valutazione dei rischi legati alla sicurezza VoIP (art. 35). Tale articolo definisce che il titolare del trattamento dei dati deve dimostrare, anche documentalmente, che il trattamento a cui a esso fa capo avviene (o è avvenuto) nel rispetto dei principi fondamentali della normativa.

Per contribuire alla comprensione dell’evoluzione degli scenari legati alla sicurezza VoIP, anche quest’anno il Rapporto CLUSIT propone una dettagliata panoramica degli incidenti di sicurezza più significativi avvenuti a livello globale negli ultimi dodici mesi, confrontandoli in una serie storica quinquennale. Tra i settori più colpiti dalle minacce emerge il settore VOIP (Voice Over Internet Protocol). Grazie all’introduzione di nuovi protocolli, sono state scoperte nuove vulnerabilità e quindi nuovi attacchi perpetrati contro aziende e organizzazioni.