GDPR, il nuovo Regolamento Europeo sulla Privacy

Il 25 maggio 2018 si prospetta essere una data cruciale, un vero e proprio spartiacque tra chi in questi mesi ha deciso di correre ai ripari e chi, invece, non ha prestato la giusta attenzione all’importante novità portata dal General Data Protection Regulation (GDPR). Il regolamento UE 2016/679 in materia di protezione dei dati personali è stato approvato nell’aprile 2016 e comincerà a produrre i propri effetti proprio dal 25 maggio 2018: ma attenzione! Non ci sarà un “periodo di tolleranza” …per la serie “chi c’è c’è”!

  • A livello italiano i dati relativi alla conoscenza del GDPR sono piuttosto allarmanti: solo un’azienda su cinque conosce nel dettaglio le implicazioni del nuovo regolamento e pare siano solo il 9% le imprese che hanno già strutturato un progetto per adeguarsi alle nuove disposizioni, mentre il 46% ha in corso un’analisi dei requisiti richiesti.
  • I legislatori sperano che le modifiche introdotte dal GDPR riescano a ridurre i costi per le imprese per un ammontare complessivo di 2,3 miliardi di Euro l’anno. Il fatto di poter contare su regole comuni per tutti gli Stati UE crea finalmente le condizioni ideali per lo sviluppo del mercato unico digitale che permetterà alle imprese di incrementare il loro business online senza l’ostacolo di normative diverse tra loro all’interno dell’area UE.
  • È bene sapere che il mancato adeguamento a quanto previsto dal GDPR può produrre delle belle grane: le sanzioni previste difatti non scherzano, esse prevedono che aziende che non rispondono ai nuovi requisiti corrano il rischio di essere sanzionate per un valore di ben 20 milioni di Euro o fino al 4% del fatturato annuo.
  • In caso di violazione dei dati tutti i titolari sono tenuti a comunicarlo al Garante: occorrerà assicurarsi di aver adottato procedure idonee a scoprire le violazioni in questione, generare adeguata reportistica e indagarne le cause e gli effetti.

Le principali novità

Tre importanti aspetti risaltano all’interno del GDPR: in esso di dà rilievo ai concetti di privacy by default e privacy by design, si introduce la nuova figura del DPO e si pone focus sul principio dell’accountability (responsabilizzazione).

  • Privacy by default e privacy by design – un duplice approccio che prevede di richiede alle imprese l’obbligo di predisporre misure tecniche predefinite che garantiscano il rispetto delle modalità di acquisizione dei dati, il loro trattamento, nonché la loro diffusione (by default); inoltre, la protezione dei dati deve essere presa in considerazione sin dal momento del disegno e della progettazione dei processi aziendali (by design).
  • DPO – si tratta della novità di maggior rilievo che consiste nell’introduzione di un nuovo protagonista della tutela dei dati: il cosiddetto Data Protection Officer. Questa nuova figura ha il compito di vigilare se l’azienda dalla quale è stato incaricato rispetti effettivamente le previsioni della normativa privacy: egli dovrà pertanto vantare un’approfondita conoscenza della normativa di cui trattasi e fungerà da tramite tra l’azienda e l’Autorità Garante per la Privacy; dovrà interagire anche con le figure preesistenti (Titolare e Responsabile del Trattamento dei Dati) informandole sugli obblighi derivanti dal GDPR, delineandone la corretta esecuzione e vigilando sui dovuti adempimenti.
  • Accountability – con il nuovo Regolamento le organizzazioni dovranno essere in grado di motivare all’Authority le scelte effettuate. La valutazione primaria dell’Authority, in caso di violazione, verterà sull’impegno profuso dall’azienda nella preservazione del suo patrimonio di dati.

In Italia il Garante per la Protezione dei Dati Personali ha provveduto a elaborare una guida all’applicazione del GDPR che traccia un quadro generale delle principali innovazioni introdotte dalla normativa, fornendo indicazioni utili sulle prassi da seguire e sugli adempimenti da attuare per darne corretta applicazione. La guida, divisa in sei sezioni tematiche, illustra cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, proponendo delle preziose raccomandazioni per una corretta implementazione delle nuove disposizioni.

Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.

Scopri di più: