GDPR: di cosa si tratta?

La nostra piattaforma Beekon e le nostre app sono in regola con il GDPR, acronimo di “regolamento generale sulla protezione dei dati”, ma di cosa si tratta? In questo articolo cercheremo di spiegarlo in maniera semplice, evidenziando quali best practice devono essere maneggiate dagli sviluppatori per rispettare questo nuovo regolamento.

Dal 25 maggio 2018, data dell’entrata in vigore del GDPR, la raccolta e l’utilizzo dei dati sono passati da un piano etico ad uno legislativo con conseguenti possibili sanzioni. Una pratica sana di protezione dei dati, riguarda tanto il lato tecnico (codice, data e sicurezza) quanto la parte commerciale del processo, strategia e informazioni. È dunque un regolamento dell’Unione Europea in materia di trattamento dei dati personali e di privacy.

GDPR: cosa cambia nella protezione dei dati

La sua natura extraterritoriale – in quanto i dati da proteggere sono quelli di tutti i cittadini comunitari indipendentemente da dove vengano raccolti – significa de facto che il General Data Protection Regulation sarà lo standard adottato da tutto il mondo. O almeno da tutti i server che gestiscono dati dei cittadini europei. Ogni giorno sentiamo parlare di cyber security, violazione dei dati e della privacy, di siti bucati. In questo scenario il nostro obbligo non è più solo etico e morale ma diventa legale e politico. I developers hanno un ruolo importante da svolgere e la buona notizia è che gli update richiesti ai nostri frameworks non sono eccessivamente complicati né richiedono una consulenza legale. Quelle di cui parliamo sono regole di buon senso che possiamo attuare subito; ci concentriamo sulla tematica dello sviluppo web in ottica GDPR, dando una panoramica del nuovo workflow possibile.

Trasparenza, divulgazione e processo: dalla Data Protection Directive al GDPR

Il regolamento entrato in vigore il 25 maggio revisiona, modernizza e sostituisce il quadro normativo-procedurale già esistente, la Data Protection Directive, entrata in vigore nel 1995. Tutti i principi della normativa del ‘95 rimangono validi anche all’interno del GDPR. Quello che aggiunge il GDPR sono definizioni necessarie per riflettere il cambiamento epocale che abbiamo vissuto.
Punta inoltre a rafforzare i requisiti di trasparenza, divulgazione e processo.

ePrivacy Directive, l’evoluzione della Cookie Law

La seconda metà del regolamento si occupa di rinnovare la ePrivacy Directive del 2002, al secolo la “Cookie Law”. Questo aggiornamento si concentra sui dati in transito come i cookie, i metadata, la telemetria e il consenso per le azioni di marketing.

Cosa intendiamo con “Dati personali”?

Per dati personali, si intende qualsiasi informazione relativa a una persona fisica, identificata o identificabile e questa è la prima informazione per creare il Registro dei trattamenti che non riguarda esclusivamente i progetti esterni ma, anche la gestione dei dati interni all’azienda.

Ad affiancare i dati personali, ci sono quelli che vengono chiamati dati personali sensibili, dei quali fanno parte:

  • Origine etnica/razziale
  • Opinioni politiche
  • Credo religioso o filosofico
  • Appartenenza sindacale
  • Dati sulla salute
  • Orientamento sessuale
  • Condanne penali passate o scontate

Quest’ultima definizione è importante per gli sviluppatori: indirizzi IP, ID del dispositivo mobile, impronte digitali memorizzate nel browser, tag RFID, indirizzo MAC (media access control), cookies, telemetria, users ID e qualsiasi altra forma di dati system-generated che identificano una persona fisica non sono dati personali sensibili di per sè, lo diventano quando vengono aggregati.

Responsabile dei dati e Data Processor

I personal data sono utilizzati dai responsabili del trattamento dati e dai Data Processor. Il responsabile del trattamento dei dati è una persona o un’entità, che decide quali dati vengano raccolti, come vengono utilizzati e con chi sono condivisi. Il Data Processor è un’entità distinta dai responsabili del trattamento: è deputato esclusivamente all’elaborazione dei dati. Uno sviluppatore può essere quindi un Data Processor, un responsabile del trattamento o entrambi.

Chi sono gli attori interessati dalla revisione della protezione dei dati?

La legislazione europea sulla protezione dei dati è – ed è sempre stata – extraterritoriale.
Si applica a tutti i dati personali raccolti, trattati e alla data retention (periodo di conservazione dei dati), relativi a cittadini che risiedono all’interno dell’Unione Europea, indipendentemente da cittadinanza o nazionalità. In termini più semplici significa che se non sei pronto a soddisfare ogni richiesta inserita nel GDPR non dovresti più fare business digitale in Europa. Il GDPR si applica a tutte le imprese, situazioni, scenari e settori indipendentemente dalle dimensioni, dal fatturato o dal numero di dipendenti, dai Big Player ai piccoli studi di sviluppo.

Riepilogo
GDPR: di cosa si tratta?
Titolo
GDPR: di cosa si tratta?
In breve
Una pratica sana di protezione dei dati, riguarda tanto il lato tecnico (codice, data e sicurezza) quanto la parte commerciale del processo, strategia e informazioni.
Autore
Sito
Beekon Staff
Logo