Privacy dati personali cosa cambia ?
Il Regolamento Generale sulla Protezione dei Dati personali e della privacy, comunemente identificato con GDPR, adottato nel 2016, introdurrà i suoi effetti già a partire dal prossimo 25 maggio 2018.
Il regolamento europeo in materia di privacy UE 2016/679 sarà quindi destinato a sostituire le direttive europee del 1995 in materia di protezione dei dati (DPD). Tanti aspetti basilari di tali norme resteranno sostanzialmente invariati, sebbene il GDPR punti ad uniformare il modello organizzativo della privacy, dal punto di vista del trattamento e della protezione dati con quello della sicurezza ICT-SEC.
Per tutte le organizzazioni che trattano o condividono dati personali conformarsi al nuovo regolamento comporta specifici obblighi e profonde modifiche nel sistema di gestione dei dati aziendali.
Gli stati destinatari del regolamento avranno un congruo tempo per adeguarsi al nuovo modello organizzativo, trascorso tale periodo saranno previste severe sanzioni, in misura fissa pari a 20 milioni di euro, oppure in alternativa fino al 4% sul fatturato globale aziendale. L’ambito di applicazione del regolamento interessa tutti gli stati membri, pur lasciando dubbi sulla concreta e fattibile armonizzazione legislativa, a fronte di palesi divergenze in ordine alle singole normative nazionali.
Non mancano anche alcuni dubbi interpretativi e lacune normative su molti punti del regolamento, tali da ritenere fin troppo oneroso e difficilmente praticabile questo nuovo assetto normativo. Diversamente, le organizzazioni che operano in diversi stati membri, potranno ricavare un alto grado di giovamento dall’armonizzazione normativa.
Il regolamento europeo privacy Ue 2016/679 si estende a tutte quelle organizzazioni europee, pubbliche o private, che in maniera non occasionale conservano, raccolgono e trattano dati appartenenti ai cittadini dell’Unione Europea.
Il sistema, così delineato, darà vita ad uno sportello unico, in cui le organizzazioni avranno come referente una sola autorità di controllo. Con l’introduzione dello sportello unico le aziende potranno operare in maniera più agevole e con una riduzione dei costi.
Il GDPR, nel richiamare le disposizioni della DPD, include tutta una serie di ulteriori obblighi in capo alle organizzazioni, affinché siano soddisfatte le prescrizioni sulle misure tecniche ed organizzative, nell’ottica della nuova terminologia, come quella di trattamento “su ampia scala” o di dati non riconducibili ad uno specifico soggetto, ovvero quelli “pseudonomizzati“.
Le organizzazioni ed i responsabili sono obbligati alla tenuta di appositi registri che documentino le attività connesse al trattamento, in modo da garantirne l’accesso su apposita richiesta degli interessati. Sono anche obbligati a segnalare, entro 72 ore dalla conoscenza dell’accaduto, le violazioni sui dati all’autorità di controllo.
Particolare attenzione viene specificatamente riservata per il trattamento dei minori, ritenuti tali in condizione di età inferiore ai 16 o 13 anni, in base a quanto prescritto per ciascun stato membro.
Uno degli aspetti più importanti del GDPR attiene al controllo dei dati in favore degli interessati, attraverso nuovi strumenti, quali il diritto alla rimozione (diritto all’oblio) ed il diritto alla portabilità in caso di trasferimento ad altro titolare.
Il regolamento introduce l’obbligo di valutare rischio di protezione dei dati, controllo obbligatorio in caso di trattamento automatico o su larga scala.
A tal riguardo, i responsabili del trattamento sono tenuti a svolgere le dovute valutazioni di impatto in ordine al trattamento dei dati in quei settori ove si presentino rischi di violazione della privacy. Al fine di contemperare possibili rischi, i responsabili possono ricorrere alla pseudonomizzazione, per una migliore salvaguardia dei diritti degli interessati.
La normativa sembra richiedere non solo un veloce adeguamento delle parti coinvolte ma anche un modello di gestione che garantisca alta professionalità ed un alto livello di costanza. Ruolo determinante è svolto dal sistema sanzionatorio e dalle pesanti conseguenze che potranno subire le aziende inadempienti, malgrado lo stato italiano non si sia ancora pronunciato sulla misura definitiva dell’impianto sanzionatorio.
22 Gennaio 2018
