Il GDPR
Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo “Regolamento sulla protezione dei dati personali e la libera circolazione dei dati personali”, (GDPR) che si applicherà a decorrere dal 25 maggio 2018.
Il Regolamento è stato emanato per uniformare la legislazione in materia di privacy su tutto il territorio dell'Unione, in considerazione anche della massiccia diffusione delle tecnologie e la internazionalizzazione dei flussi di dati, che hanno aumentato il rischio per gli individui di diminuire o perdere il controllo sui propri dati; motivo per il quale è necessario usare maggiore tutela nel trattamento dei dati.
Il Garante, nelle linee guida, ha suggerito di concentrarsi su tre priorità:
- Designazione in tempi stretti del Responsabile della protezione dei dati (o DPO – Data Protection Officer);
- L’istituzione del Registro delle attività del trattamento, dove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate,
- La notifica delle violazioni dei dati personali, i cosiddetti Data Breach, con obbligo per i titolari di segnalazione all’Autorità di Controllo entro 72 ore.
L’adeguamento non deve essere solo tecnologico, ma deve riguardare anche l’approccio al problema e la relativa modifica della struttura organizzativa
Tra le novità, vi è l’introduzione di istituti quali la “privacy by design” ossia l’obbligo di adottare fin dall’inizio del processo produttivo comportamenti in grado di assicurare la correttezza, l’integrità, la riservatezza e la sicurezza dei dati; inoltre, viene introdotto il principio della privacy by default, che impone di adottare strumenti e modalità di trattamento dei dati in grado di ridurre il rischio.
E’ stata introdotta anche la “pseudo-anonimizzazione”, ossia l’obbligo di tenere separato il dato dal suo identificativo, con l’ovvia necessità di adozione di un sistema per abbinarli.
Altro nuovo principio introdotto dal regolamento è il principio di accountability, cioè l’obbligo di rispettare le norme del Regolamento, e di attuare quanto stabilito in fase di analisi dei rischi. Sarà il titolare del trattamento a dover dimostrare, in caso di controversie, di aver adottato tutte le precauzioni previste per ridurre al minimo i rischi.
Non solo gli Enti pubblici ma anche le aziende (piccole, medie e grandi) dovranno mettere a punto la situazione e focalizzarsi sull’adeguamento alla nuova normativa: sono infatti previste sanzioni piuttosto elevate in caso di inosservanza al dettato del GDPR fino a 20 milioni di euro o al 4% del fatturato.