Non si parla più solo di protezione dei dati personali, ma anche della loro circolazione
A distanza di 20 anni dalla prima legge italiana sulla privacy, che entrò in vigore l’8 maggio 1997, diventerà applicabile da tutti gli stati membri a partire dal 25 maggio 2018 il nuovo Regolamento Europeo (GDPR, General Data Protection Regulation - Regolamento UE 2016/679) in materia di protezione dei dati personali.
Entrata in vigore il 24 maggio 2016, la normativa, che rientra in quello che è stato comunemente definito il “Pacchetto europeo protezione dati” insieme alla Direttiva UE 2016/680 sullo stesso tema, consentirà alla Commissione europea di adottare atti al fine di rendere operativa la disciplina. Sarà però lasciata ai singoli legislatori nazionali la facoltà di introdurre norme ad hoc che possano rispondere a specifiche esigenze.
Le novità per cittadini e aziende
Il nuovo regolamento introduce importanti novità non solo per i privati cittadini, ma anche per aziende, enti pubblici, associazioni e liberi professionisti. Lo scopo è dare una risposta concreta alle nuove sfide che le innovazioni tecnologiche e i nuovi modelli di crescita economica impongono, dando seguito a un’esigenza sempre più marcata di rispetto della privacy da parte dei cittadini.
Il GDPR mira a tutelare maggiormente i cittadini: detta nuove norme in merito a informative e consensi sul trattamento dei dati, definisce i limiti entro i quali questi possono trattati, stabilisce i criteri per il trasferimento dei dati al di fuori dell’Unione Europea. Vengono riconosciuti il diritto all’oblio (cioè a richiedere la cancellazione dei propri dati), il diritto alla trasferibilità dei dati e ad essere informati in caso di gravi violazioni, le cosiddette “data breach”.
La direttiva si concentra però non solo sui diritti dei cittadini, ma sui doveri e le responsabilità che hanno i Responsabili del trattamento dei dati. Vengono infatti definiti processi, misure tecniche e organizzative, obblighi e sanzioni.
Aziende ed enti pubblici avranno quindi nuove maggiori responsabilità, che, qualora non dovessero essere rispettate, faranno scattare un sistema sanzionatorio particolarmente aspro, con ammende fino a 20 milioni di euro o fino al 4% del fatturato annuale globale di gruppo per le multinazionali.
La strategia di gestione del rischio
Ecco perché diventa fondamentale adottare una strategia di gestione del rischio relativa al trattamento dei dati personali. Deve ad esempio essere ben evidente da dove provengono i potenziali rischi, di quale tipologia si tratta, il grado di impatto che possono avere sull’attività e con che frequenza possono presentarsi. La protezione dei dati diventa quindi centrale non solo nelle politiche di compliance di qualsiasi azienda o ente pubblico, ma anche per garantire la continuità del business.
Il Data Protection Officer
A livello organizzativo, il GDPR lascia inalterate le categorie di soggetti che hanno oggi la responsabilità della privacy, ma introduce una nuova figura, il Data Protection Officer, ovvero il Responsabile della protezione dei dati, che dovrà essere presente in tutte le aziende pubbliche e in quelle private laddove il trattamento dei dati personali presenti rischi specifici. Un ruolo di grande responsabilità che dovrà dipendere direttamente dal CEO.
Le aziende che potranno dimostrare di aver adottato tutte le misure richieste dal Regolamento per la protezione dei dati personali potranno ottener dall’Autorità una riduzione delle sanzioni. Questo è favorito dalla richiesta di tenere un registro delle attività di trattamento e la necessità di svolgere valutazioni di impatto privacy prima di introdurre una nuova applicazione, tecnologia o processo.