Che cos'è il GDPR?

La privacy dei dati preoccupa i cittadini di tutto il mondo in quanto le sue violazioni, come lo scandalo di Facebook/Cambridge Analytica, allertano gli utenti interessati circa l'utilizzo di bassi standard del settore. L'affidabilità e la privacy dei dati sono aspetti essenziali nella vita digitale, che sono stati acquisiti nella ricerca. Ad esempio, un sondaggio condotto da McKinsey nel 2020 sulla condivisione dei dati e sul comportamento dei consumatori ha rivelato che l'87% delle persone intervistate non avvierebbe una transazione con un'azienda se fosse preoccupata delle sue misure di sicurezza. Il sondaggio, inoltre, ha rivelato che il 71% delle persone intervistate abbandonerebbe un'azienda se si verificasse una condivisione di dati sensibili senza autorizzazione.

Per affrontare gli abusi della privacy dei consumatori, l'UE ha emesso il regolamento generale sulla protezione dei dati (GDPR) il 25 maggio 2018. Il GDPR dell'UE viene identificato come un rigoroso regolamento sulla privacy dei dati dei consumatori, che si propone di proteggere i diritti di tutti i cittadini dell'UE alla privacy dei dati.

Il diritto alla privacy è diventato parte della legislazione dell'UE a partire dalla Convenzione europea dei diritti dell'uomo emanata nel 1950. Il GDPR è stato un aggiornamento della direttiva 95/46/CE sulla protezione dei dati personali o DPA.(2)e, emanata nel 1995, mentre il GDPR è stato adottato nel 2016; gli stati membri dell'UE hanno avuto due anni di tempo per implementare la legge. Uno dei fattori trainanti alla base di questo aggiornamento è stato l'intento di armonizzare le leggi sulla privacy all'interno di tutti gli stati membri dell'Unione europea. Una volta entrato in vigore il GDPR, le aziende interessate da questo regolamento hanno dovuto soddisfare i requisiti necessari per la conformità al GDPR. Nell'ambito del GDPR, rientra la necessità di garantire la protezione della privacy dei dati personali. Nell'articolo 4 del GDPR, per "dati personali" si intende qualsiasi informazione concernente una persona fisica identificata o identificabile ("interessato"), inclusi dettagli come informazioni personali, indirizzi IP, dati biometrici, ecc. Il GDPR fornisce, inoltre, classi di dati, tra cui "categorie speciali" di dati che riflettono i loro livelli di sensibilità, ad esempio i dati più sensibili richiedono una protezione più solida.

Nell'ambito del GDPR, un'entità interessata è qualsiasi organizzazione che utilizza i dati personali di un interessato dell'UE a cui la stessa entità offre beni o servizi o di cui monitora il comportamento online. Le entità interessate sono considerate titolari o responsabili del trattamento dei dati: Un titolare del trattamento dei dati è il principale responsabile dei consensi e della gestione degli accessi; un responsabile del trattamento dei dati viene incaricato di svolgere la sua funzione da un titolare del trattamento dei dati. L'ambito giurisdizionale del GDPR si estende per includere aziende le cui sedi non si trovano in Europa e nell'UE e che raccolgono i dati personali dei clienti nell'UE durante il loro processo di vendita di merci. Il GDPR riguarda le aziende di qualsiasi dimensione perché si riferisce alle attività di trattamento dei dati di un'azienda, non alle sue dimensioni.

La protezione e la privacy dei dati sono argomenti fondamentali per la conformità al GDPR. Le soluzioni per la sicurezza di Akamai forniscono intelligence e protezione end-to-end per proteggere i dati da violazioni ed esposizione accidentale. Akamai aiuta i vostri team di sicurezza a massimizzare l'efficacia e il ROI dei vostri investimenti nella sicurezza andando oltre il tradizionale rilevamento degli endpoint, per fornire una potente soluzione Zero Trust per la sicurezza e la privacy dei dati.

Akamai offre:

• Una piattaforma di sicurezza globale che applica la sicurezza Zero Trust con una copertura completa dei vostri ambienti IT, IoT e OT
• Una profonda visibilità su risorse, accessi e flussi di rete
• Applicazione granulare della policy di sicurezza

La privacy dei dati è importante per i consumatori. Il GDPR e analoghe leggi sulla privacy dei dati, incluso il California Consumer Privacy Act (CCPA) negli Stati Uniti, vengono emanati per applicare i principi della privacy dei dati per consumatori e cittadini. Le aziende che risulta non conformi al GDPR sono soggette al pagamento di sanzioni significative: il 13 aprile 2023, il garante per la protezione dei dati personali (Data Protection Authority o DPA) in Irlanda ha emesso una sanzione di 1,2 miliardi di euro nei confronti di Meta Platforms Ireland Limited (Meta IE) per le sue violazioni del GDPR durante il trasferimento di dati personali negli Stati Uniti sulla base di clausole contrattuali standard (SCC). 

Oltre alle aziende che rientrano direttamente nel GDPR, devono conformarsi a questo regolamento anche le seguenti organizzazioni:

Aziende che operano negli Stati Uniti con clienti nell'UE

L'ambito del GDPR è extraterritoriale. Anche se un'azienda ha sede al di fuori dell'UE, ma può fare affari con cittadini residenti nell'UE, deve conformarsi al GDPR e, di conseguenza, deve condurre una valutazione richiesta dal GDPR per verificare quali attività di trattamento dei dati può eseguire. Inoltre, all'azienda viene richiesto di fornire avvisi sulla privacy in conformità ai requisiti previsti dal GDPR. L'azienda deve anche condurre una valutazione dell'impatto sulla protezione dei dati e stabilire quali sono le misure di protezione necessarie, che possono includere la crittografia dei dati, solide misure di autenticazione e una protezione dei dati a livello aziendale, come l'implementazione di un approccio alla sicurezza Zero Trust. Queste misure devono estendersi ai fornitori di terze parti.

Una piccola impresa con meno di 250 dipendenti

Il GDPR non esime dal suo regolamento le aziende più piccole. Anche le ditte individuali o gli enti di beneficenza devono sottostare al regolamento GDPR se si occupa di gestire e trattare dati personali. Tuttavia, solitamente sono richiesti per legge diversi livelli di documentazione se i dati vengono trattati regolarmente, in grandi quantità o in modo da influire sui diritti e sulla libertà o se sono indicativi di razza, etnicità, dati biometrici, ecc. Oltre a conformarsi ai requisiti previsti per la privacy dei dati, le piccole imprese devono adottare piattaforme di sicurezza in grado di fornire solide funzioni di autenticazione e crittografia per proteggere i dati ed evitare eventuali violazioni.

Il GDPR stabilisce una serie di sette principi basilari del suo regolamento. Questi principi riguardano la liceità, i motivi alla base del trattamento dei dati e le condizioni per il consenso. I principi coprono le seguenti aree:

1. Liceità, correttezza e trasparenza: il trattamento dei dati deve essere eseguito per un motivo valido.
2. Limitazione della finalità: si tratta di un concetto importante nei principi della privacy di natura intrinseca, come riportato nel GDPR. Lo scopo principale del trattamento prevede che i dati vengano "raccolti per finalità determinate, esplicite e legittime".
3. Minimizzazione dei dati: in linea con il secondo principio, la raccolta, eseguita in modo lecito, deve essere limitata ai soli dati indispensabili.
4. Accuratezza: l'entità interessata deve garantire l'accuratezza dei dati raccolti.
5. Limitazione alla conservazione dei dati: l'entità interessata deve applicare specifiche policy per limitare la conservazione dei dati.
6. Integrità e riservatezza: l'integrità e la riservatezza dei dati personali raccolti devono essere garantite dai controlli di sicurezza effettuati, incluse le misure di sicurezza attuate per prevenire eventuali attacchi da minacce interne o esterne.
7. Responsabilità: le misure attuate e la documentazione presentata devono dimostrare la conformità al GDPR dell'entità interessata.

I soggetti interessati sono gli individui che possono essere identificati dai dati personali inclusi nel GDPR. Il capitolo 3 del GDPR definisce gli otto diritti dei soggetti interessati a cui bisogna ottemperare per conformarsi al GDPR:

1. Diritto all'informazione (articoli 12, 13 e 14).
2. Diritto di accesso (articolo 15).
3. Diritto alla rettifica (articolo 16).
4. Diritto all'oblio (articolo 17).
5. Diritto di limitazione di trattamento (articolo 18).
6. Diritto alla portabilità dei dati (articolo 20).
7. Diritto di opporsi (articolo 21).
8. Diritto di opporsi al trattamento automatizzato (articolo 22).

Inoltre, l'articolo 34 prevede una comunicazione di violazione dei dati, che richiede all'entità interessata di informare il soggetto interessato "senza ingiustificato ritardo" quando la violazione dei dati "è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche". Le violazioni dei dati vanno notificate alle autorità pubbliche di controllo che sono tenute a monitorare l'applicazione del regolamento.

Lo strumento GDPR Enforcement Tracker fornisce una panoramica delle multe e delle pene previste nei casi di mancata conformità al GDPR. A maggio 2023, i costi totali delle multe si aggiravano sui 2,79 miliardi di euro. Secondo il GDPR Enforcement Tracker, i primi tre motivi che hanno determinato l'applicazione delle multe, sono:

1. Mancata conformità ai principi generali del trattamento dei dati.
2. Base legale insufficiente per giustificare il trattamento dei dati.
3. Misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni.

I due livelli impostati per l'applicazione di multe in caso di mancata conformità al GDPR sono:

Livello 1: in caso di violazioni dei dati e mancata esecuzione di una valutazione dell'impatto della protezione dei dati, le multe corrispondono al 2% del fatturato annuo globale o 10 milioni di euro, a seconda di quale importo sia maggiore.

Livello 2: se non vengono soddisfatti i requisiti previsti dal GDPR, ad esempio, la negazione del consenso e i diritti dei soggetti interessati, le multe corrispondono al 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale importo sia maggiore.

La sicurezza dei dati è legata in modo intrinseco ad un solido approccio alla privacy dei dati. Il GDPR riconosce l'importanza di prevenire le violazioni di dati tramite l'utilizzo di appropriate misure tecniche e organizzative. Le misure di protezione della privacy e i controlli di sicurezza riportati nel GDPR includono la crittografia e la pseudonimizzazione. Tra le altre misure di sicurezza e di protezione della privacy che si consiglia di utilizzare per prevenire le violazioni di dati, figurano i sistemi di gestione delle identità e degli accessi (IAM) e solide funzionalità di autenticazione e consensi basate sull'approccio alla sicurezza Zero Trust.

Akamai Connected Cloud fornisce accurati controlli sull'accesso ai dati e la gestione dei consensi per aiutare le organizzazioni a soddisfare e a dimostrare la loro conformità al GDPR. Tra questi controlli sono inclusi:

• Ottenimento e gestione del consenso
• Diritto di accesso
• Diritto alla rettifica
• Diritto all'oblio
• Crittografia

Akamai supporta la conformità al GDPR fornendo funzionalità di gestione dei rischi, creazione di rapporti e documentazione, il tutto utilizzando una strategia Zero Trust