Il Regolamento generale sulla protezione dei dati, o GDPR, è una legge dell'Unione Europea (UE) che disciplina il modo in cui le organizzazioni all'interno e all'esterno dell'UE gestiscono i dati personali dei residenti nell'UE. Il GDPR è stato adottato dal Parlamento Europeo e dal Consiglio dell'UE nel 2016, ed è entrato in vigore il 25 maggio 2018.
Nello specifico, il GDPR
- definisce le modalità legalmente approvate per il trasferimento e il trattamento dei dati personali;
- descrive in che modo le organizzazioni sono tenute a proteggere i dati personali a riposo e in transito; e
- stabilisce i diritti dei residenti nell’UE in merito alla raccolta, all’uso e al possesso dei dati personali.
Il GDPR definisce i dati personali come qualsiasi informazione relativa a un essere umano identificabile, inclusi gli identificatori diretti e indiretti. Gli identificatori diretti sono i punti dati univoci di una persona, ad esempio il nome o il numero della carta di credito. Gli identificatori indiretti includono dettagli non univoci che possono comunque identificare una persona, come ad esempio caratteristiche fisiche e date di nascita.
Nel gergo del GDPR, l'interessato è la persona a cui si riferiscono i dati. Ad esempio, se un'azienda raccoglie gli indirizzi e-mail, i proprietari di tali indirizzi saranno i titolari dei dati.
Sebbene il GDPR sia una legge europea, la sua portata è globale. Si applica infatti a qualsiasi organizzazione raccolga o utilizzi i dati personali dei residenti dell'UE.
Per aiutare le organizzazioni a soddisfare i requisiti GDPR, IBM sta rafforzando il suo impegno costante nei confronti della privacy dei dati fin dalla progettazione. IBM sta lavorando per incorporare i principi di protezione dei dati ancora più profondamente nei suoi processi di business. Questo sforzo consolida anche le garanzie esistenti per limitare l'accesso ai dati personali, comprese le applicazioni mobili che impediscono la condivisione dei dati personali per impostazione predefinita.
Come parte di questo impegno, molte offerte e servizi IBM Cloud dispongono della certificazione European Union Cloud Code of Conduct (EU Cloud CoC) (link esterno a ibm.com). I requisiti EU Cloud CoC forniscono un framework per i provider di cloud service (CSP) per dimostrare la capacità di conformarsi al GDPR. Per ulteriori informazioni sulle offerte e sui servizi specifici di IBM Cloud che hanno ottenuto la certificazione EU Cloud CoC, visita la nostra pagina EU Cloud CoC o leggi la nostra Verifica della dichiarazione di adesione (link esterno a ibm.com).
Per ulteriori informazioni su IBM Security e sulla privacy, visita l'IBM Trust Center.
Per ulteriori informazioni sui termini contrattuali sulla privacy dei dati di IBM, consulta i Termini IBM nella sezione Protezione dei dati.
Per eventuali domande relative alla privacy dei dati, contatta direttamente il team di privacy di IBM all'indirizzo chiefprivacyoffice@ca.ibm.com/it-it.
Le norme e i principi del GDPR in materia di trattamento dei dati si applicano a tutti i responsabili e gli titolari del trattamento dei dati attivi nello Spazio economico europeo, che comprende tutti i 27 Stati membri dell'UE più Islanda, Liechtenstein e Norvegia.
Un titolare del trattamento dei dati (titolare del trattamento) è qualsiasi organizzazione, autorità pubblica o altro gruppo o persona che raccoglie dati personali e determina come vengono utilizzati. Ad esempio, un sito di social media che conserva i database sui propri utenti è un responsabile del trattamento.
Un responsabile del trattamento dei dati (responsabile del trattamento) è qualsiasi organizzazione che agisce in qualche modo sui dati personali, ad esempio analizzandoli, archiviandoli o modificandoli. Un'azienda può essere sia titolare che responsabile. I responsabili del trattamento possono essere anche organizzazioni di terze parti che elaborano i dati per conto di un titolare, ad esempio un provider di cloud service che offre storage e analytics dei dati.
Tutti i titolari e i responsabili del trattamento con sede nello Spazio economico europeo sono vincolati dal GDPR, anche se memorizzano ed elaborano dati al di fuori di questa zona.
Un'azienda con sede al di fuori dello Spazio Economico Europeo è vincolata dal GDPR se si applicano le seguenti condizioni:
- L'azienda offre regolarmente beni e servizi ai residenti nello Spazio economico europeo, anche senza scambi di denaro.
- L'azienda monitora regolarmente l'attività dei residenti nello Spazio economico europeo, ad esempio utilizzando i cookie di monitoraggio.
- L'azienda elabora i dati per conto dei titolari con sede nello Spazio economico europeo.
Le uniche attività di trattamento dei dati esenti dal GDPR sono quelle legate alla sicurezza nazionale o all'applicazione della legge e gli usi puramente personali dei dati.
Il GDPR stabilisce diversi principi che i titolari e i responsabili del trattamento devono seguire nella gestione dei dati personali. In termini generali, questi principi stabiliscono che tutte le attività di trattamento devono essere chiaramente definite, trasparenti ed eque.
Secondo il principio della limitazione delle finalità, le aziende devono avere in mente uno scopo specifico e legittimo per tutti i dati che raccolgono, trasmetterlo agli utenti e raccogliere solo la quantità minima di dati richiesti per tale scopo.
Le aziende sono tenute a utilizzare i dati in modo equo. Devono tenere gli utenti informati sul trattamento dei dati personali e seguire le norme sulla protezione dei dati. Secondo il principio della limitazione della conservazione, un'azienda deve conservare i dati personali solo fino al raggiungimento dello scopo prefissato. I dati devono essere cancellati non appena non sono più necessari.
Il GDPR definisce le basi giuridiche che le aziende possono utilizzare per trattare i dati personali. Almeno una di queste condizioni deve essere soddisfatta, altrimenti il trattamento sarà illegale.
L'interessato acconsente al trattamento dei propri dati. Le aziende possono trattare i dati di una persona se questa persona lo consente. Il consenso è valido solo se è informato, affermativo e liberamente concesso.
Affinché il consenso sia informato, l'azienda deve spiegare chiaramente cosa raccoglie e come utilizzerà tali dati. Affinché il consenso sia affermativo, l'utente deve intraprendere azioni intenzionali per mostrare il proprio consenso, ad esempio firmando una dichiarazione o selezionando una casella. Il consenso non può essere l'opzione predefinita, quindi strategie come le caselle preselezionate violano il GDPR. Affinché il consenso sia liberamente concesso, la società non può influenzare o costringere l'interessato in alcun modo. L'azienda non può richiedere il consenso per utilizzare un servizio a meno che il trattamento non sia necessario per il funzionamento del servizio. Ad esempio, un'azienda può avere bisogno del numero di carta di credito di una persona per vendere qualcosa, ma probabilmente non avrà bisogno del suo indirizzo IP.
L'azienda non può raggruppare i consensi se i dati vengono trattati per più scopi. L'interessato deve essere in grado di accettare o rifiutare singolarmente ogni attività di trattamento. Le organizzazioni devono conservare un registro del consenso. Gli interessati possono revocare il proprio consenso in qualsiasi momento. In tal caso, l'elaborazione dovrà essere interrotta.
I dati devono essere elaborati per stipulare un contratto con l'interessato o per suo conto. Ad esempio, se una persona richiede un prestito, la banca potrebbe dover elaborare i suoi dati finanziari e la sua storia lavorativa.
Il titolare del trattamento ha l'obbligo legale di trattare i dati. Ad esempio, alcune normative sanitarie impongono agli ospedali di conservare in archivio i dati dei pazienti.
I dati devono essere trattati per proteggere gli interessi vitali dell'interessato o di un'altra persona. Questo fa riferimento a situazioni in cui i dati devono essere elaborati per salvare la vita di una persona o prevenire eventuali danni.
I dati devono essere trattati per svolgere un compito di interesse pubblico o nell'ambito dei poteri ufficiali del titolare del trattamento. Il giornalismo è un classico esempio di motivo di interesse pubblico per il trattamento dei dati personali. Le agenzie governative possono trattare i dati personali per esercitare le proprie funzioni ufficiali.
I dati devono essere trattati per perseguire un legittimo interesse del titolare del trattamento o di terzi. Un interesse legittimo è un beneficio che un'azienda può ottenere attraverso il trattamento dei dati. Alcuni esempi includono l'esecuzione di controlli sui precedenti dei dipendenti o il monitoraggio degli indirizzi IP su una rete aziendale per scopi di cybersecurity. Perché un interesse sia considerato legittimo, il trattamento deve essere necessario. Un’azienda non può far valere un interesse legittimo se riesce a portare a termine il compito senza i dati in questione. Gli interessati devono inoltre ragionevolmente aspettarsi il trattamento. Se gli interessati rimangono sorpresi da determinati trattamenti dei loro dati, è probabile che l'azienda non abbia motivi di interesse legittimo. I diritti degli interessati generalmente prevalgono sugli interessi legittimi di un'azienda.
Le organizzazioni devono stabilire e documentare le proprie basi giuridiche prima di raccogliere i dati e comunicarle agli utenti. Le aziende non possono modificare le loro basi a posteriori senza il consenso dell'interessato.
Il GDPR considera particolarmente sensibili alcuni tipi di dati. Queste categorie speciali includono informazioni su razza, etnia, religione, opinioni politiche e dati biometrici delle persone, tra l'altro.
Le aziende possono trattare dati di categorie speciali solo in circostanze molto specifiche, che includono, a titolo di esempio:
L'interessato ha prestato il suo esplicito consenso.
Il trattamento è necessario per la ricerca scientifica o storica.
I dati sulle condanne penali possono essere controllati solo dalle autorità ufficiali e trattati su loro indicazione.
Oltre a seguire i principi di elaborazione e stabilire una base giuridica per tutte le attività di elaborazione, le organizzazioni devono seguire alcune ulteriori regole per raggiungere la conformità al GDPR.
Se un'azienda vuole elaborare i dati in un modo che crea un rischio significativo per gli interessati, dovrà prima condurre una valutazione d'impatto sulla protezione dei dati. Le situazioni che possono innescare una valutazione includono qualsiasi trattamento di dati sensibili automatizzato o su larga scala.
La valutazione deve descrivere il trattamento, spiegare perché è necessario, valutare i rischi e cercare modi per mitigarli. Se la valutazione mostra che esiste un rischio significativo e non mitigato, l'azienda deve consultare l'autorità competente per la protezione dei dati prima di procedere.
Ai sensi del GDPR, alcune aziende devono nominare i responsabili per la protezione dei dati (DPO). Il DPO è un funzionario aziendale indipendente responsabile della conformità al GDPR. Le aziende non possono rivalersi contro un DPO per aver svolto i propri compiti.
Le responsabilità del DPO comprendono la consulenza alle organizzazioni riguardo al GDPR e le altre leggi in materia di protezione dei dati, la supervisione delle valutazioni d'impatto sulla protezione dei dati e la funzione di punto di contatto con le autorità di regolamentazione governative e gli interessati.
Tutte le autorità pubbliche devono nominare i DPO. Le aziende private devono nominare un DPO se monitorano gli interessati su larga scala o se trattano dati di categorie speciali come attività principale. Inoltre, le aziende extraeuropee devono designare rappresentanti all'interno dello Spazio economico europeo se trattano regolarmente dati dei residenti del SEE o dati particolarmente sensibili.
I titolari del trattamento dei dati sono responsabili di tutti i dati che condividono con i responsabili del trattamento ed eventuali terze parti. Titolari e responsabili del trattamento spesso stipulano accordi formali sul trattamento dei dati per rispettare il GDPR. Questi contratti vincolanti delineano dettagli come i tipi di trattamento che un responsabile può eseguire e i tipi di misure di sicurezza che deve adottare.
I processori di terze parti possono trattare i dati solo sotto la direzione del responsabile del trattamento. Non possono utilizzare i dati del titolare del trattamento per i propri scopi.
I responsabili del trattamento nello Spazio economico europeo possono trasferire i dati a responsabili del trattamento nei cosiddetti "paesi terzi" al di fuori dello Spazio economico europeo solo a determinate condizioni. Possono trasferire liberamente i dati a qualsiasi paese terzo che la Commissione europea ritenga abbia leggi adeguate in materia di privacy dei dati. I responsabili del trattamento possono anche trasferire i dati a singoli titolari del trattamento le cui garanzie sono ritenute sufficienti dalla Commissione. Se né il paese né il titolare del trattamento hanno l'approvazione della Commissione, il trasferimento potrà comunque essere consentito se il responsabile del trattamento è in grado di garantire la protezione dei dati.
I titolari e i responsabili del trattamento devono mettere in atto misure di sicurezza sia organizzative che tecniche per proteggere i dati personali.
Le misure organizzative includono processi come la formazione dei dipendenti sulle regole del GDPR e l'implementazione di politiche formali di governance dei dati .
I controlli tecnici di sicurezza coprono software, hardware e altri strumenti tecnologici. Ad esempio, la crittografia e altre tecniche di pseudonimizzazione possono rendere difficile per gli hacker intercettare i dati personali. Per esempio:
- Gestione dell'identità e degli accessi, prevenzione della perdita di dati e altri strumenti di sicurezza dei dati possono applicare le autorizzazioni in modo che solo le persone giuste possano accedere ai dati personali per le giuste ragioni. Le soluzioni di backup dei dati possono ripristinare i dati danneggiati o eliminati.
- Le piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM) possono monitorare le attività di rete e rilevare violazioni o usi impropri dei dati, consentendo alle organizzazioni di rispondere più rapidamente agli incidenti.
- Anche se la semplice presenza di vulnerabilità di rete potrebbe non violare il GDPR, può portare a violazioni rendendo più semplice per gli hacker raggiungere i dati protetti. Le soluzioni di gestione delle vulnerabilità e di gestione delle superfici di attacco aiutano le aziende a individuare e risolvere queste vulnerabilità.
Il GDPR impone alle aziende di adottare il principio della protezione dei dati fin dalla progettazione e per impostazione predefinita. In altre parole, le organizzazioni devono rendere la sicurezza dei dati un fattore chiave in ogni processo, prodotto e sistema che progettano o implementano. I principi di protezione dei dati devono essere alla base di tutto ciò che l'azienda fa, piuttosto che essere aggiunti come ripensamento.
I titolari del trattamento devono segnalare la maggior parte delle violazioni dei dati personali a un'autorità di controllo entro 72 ore. Se una violazione comporta rischi per gli interessati, ad esempio furti di denaro o di identità, l'azienda deve informare i soggetti interessati.
Le notifiche di violazione devono essere inviate direttamente alle vittime. Un annuncio pubblico non è sufficiente, a meno che la comunicazione diretta non sia irragionevole. Le notifiche devono includere dettagli sul tipo di dati rubati, sui rischi per i soggetti e su come l'azienda sta affrontando la situazione. La notifica deve anche indicare ai soggetti come contattare il DPO o un altro rappresentante in caso di dubbi. L'azienda non è tenuta a notificare nulla ai soggetti se è improbabile che una violazione comporti un rischio reale per loro. Ad esempio, la notifica non è richiesta se i dati rubati sono fortemente crittografati e inutilizzabili dagli hacker.
Il GDPR stabilisce una serie di diritti per gli interessati della sua giurisdizione.
Gli interessati hanno il diritto di sapere chi possiede i loro dati, come li ha ottenuti e cosa ne farà.
Gli interessati hanno il diritto di accedere a tutti i loro dati in possesso di un'azienda.
Gli interessati hanno il diritto di correggere dati personali inesatti o obsoleti.
Si riferisce al diritto di un soggetto di chiedere alle aziende di cancellare i propri dati. Le aziende sono tenute a rispettarlo, a meno che non prevalga il loro interesse nei confronti dei dati (ad esempio, l'obbligo legale di conservare determinati registri).
Se un soggetto ritiene che i propri dati siano imprecisi, utilizzati illegalmente o non più necessari per gli scopi aziendali, può chiedere all'azienda di limitare il modo in cui vengono utilizzati. L'azienda è tenuta a ottemperarlo, a meno che non riesca a dimostrare di avere un interesse prevalente nel trattamento dei dati.
Gli interessati hanno il diritto di spostare i propri dati da un'azienda a un'altra. Le aziende devono agevolare il trasferimento dei dati personali archiviandoli in un formato condivisibile o inviandoli a terzi su richiesta dell'interessato.
Gli interessati possono opporsi al trattamento dei propri dati in qualsiasi momento. L'azienda dovrà interrompere il trattamento a meno che e fino a quando non dimostri di avere motivi legittimi e imperativi per farlo.
Il GDPR definisce la profilazione come l'uso dell'elaborazione automatizzata per valutare alcuni aspetti di una persona, come prevederne le prestazioni lavorative o il comportamento di navigazione sul web. Le aziende non possono utilizzare l'elaborazione automatizzata per prendere decisioni significative senza il consenso degli interessati, i quali hanno il diritto di contestare le decisioni prese esclusivamente sulla base del trattamento automatizzato. Gli interessati possono esprimere il proprio parere sulla decisione e chiedere all'azienda di nominare un dipendente umano per rivedere la decisione.
Il GDPR è applicato da enti di regolamentazione pubblici chiamati autorità di protezione dei dati (DPA, Data Protection Authority), note anche come autorità di vigilanza. Ogni stato membro ha una propria DPA, che ha giurisdizione sulle società con sede in quello stato. Le autorità di vigilanza possono verificare le società, accogliere i reclami degli interessati e indagare sulle violazioni. Se una potenziale violazione riguarda soggetti di più stati, l'indagine viene condotta dall'autorità di vigilanza dello stato in cui ha sede l'azienda o il suo rappresentante.
In caso di mancata conformità, le autorità di vigilanza possono emettere sanzioni e obbligare le organizzazioni ad apportare modifiche specifiche. Possono anche costringere le aziende a onorare le richieste degli interessati e a porre fine alle attività illecite di trattamento dei dati.
Il Comitato europeo per la protezione dei dati (EDPB) facilita il coordinamento tra le autorità di protezione dei dati e garantisce l'applicazione uniforme delle norme del GDPR in tutto lo Spazio economico europeo.
Le sanzioni per la mancata conformità possono essere molto pesanti. Le violazioni minori, ad esempio il trattamento dei dati di un minorenne senza il consenso dei genitori, possono comportare multe fino a 10.000.000 di euro o al 2% del fatturato mondiale dell'organizzazione nell'anno precedente, a seconda di quale sia l'importo più alto.
Le violazioni più gravi, come il trattamento dei dati per scopi illegali, possono comportare multe fino a 20.000.000 di euro o al 4% del fatturato mondiale dell'organizzazione nell'anno precedente, a seconda di quale sia l'importo più alto.
Proteggere i dati critici e semplificare i workflow di conformità. Guardium Insights rafforza la sicurezza dei dati con solide funzionalità che aiutano a scoprire i dati shadow, a proteggere le informazioni sensibili, a fornire una visibilità centralizzata sugli hybrid cloud e ad automatizzare l'applicazione delle politiche di conformità.
Crea un'infrastruttura sicura e scalabile a un costo inferiore. Distribuisci istantaneamente nuove applicazioni e scala i workload sensibili e mission-critical in base alla domanda, il tutto all'interno di una piattaforma con piena sicurezza.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.
Le PII sono tutte le informazioni che possono essere utilizzate per scoprire l'identità di un individuo, ad esempio codice fiscale, nome completo o indirizzo e-mail.
Il viaggio inizia con un framework di governance dei dati multimodale, sostenuto da una solida architettura di dati come data fabric.