
GDPR, cosa fare per essere in regola?
GDPR General Data Protection Regulation: il nuovo regolamento sulla protezione dei dati personali
Dal 25 maggio 2018 verrà applicato in tutti gli Stati membri UE il GDPR General Data Protection Regulation Regolamento Ue 2016/679 relativo alla protezione delle persone fisiche per il trattamento e alla libera circolazione dei dati personali. Il Regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’UE verso altre parti del mondo e per i casi di violazione dei dati personali (data breach).
IL GDPR punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell’Unione Europea.
L’attuazione del GDPR per le PA e le Imprese, non è solo un adempimento burocratico, ma è da interpretare come un positivo investimento per sostenere le sfide del mercato, assicurando la qualità dei dati e la loro origine, controllando la loro utilizzazione come presupposto per ogni sviluppo nell’internet delle cose e dell’intelligenza artificiale. Garantire la tutela del diritto alla privacy va al di là di ogni potenziale sviluppo tecnologico.
Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato UE. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed Enti avranno più responsabilità e, in caso di inosservanza delle regole, rischiano pesanti sanzioni (fino a 20 milioni di euro).
Gli interessati dovranno sapere se i loro dati sono trasmessi al di fuori dell’UE e con quali garanzie; cosi come dovranno sapere che hanno il diritto di revocare il consenso a determinati trattamenti, come quelli a fini di marketing diretto. Il consenso sarà esplicito e potrà essere revocato in ogni momento.
Il Regolamento introduce il diritto alla «portabilità» dei propri dati personali per trasferirli da un titolare del trattamento ad un altro. Ad esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati.
Resta vietato il trasferimento di dati personali verso Paesi situati al di fuori dell’Unione Europea o organizzazioni internazionali che non rispondono agli standard di adeguatezza in materia di tutela dei dati, rispetto ai quali il Regolamento introduce criteri di valutazione più stringenti.
Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Fra le principali novità del Regolamento c’è il cosiddetto «sportello unico» (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Salvo casi specifici, le imprese stabilite in più Stati membri o che offrono prodotti e servizi in vari Paesi dell’UE, per risolvere possibili problematiche sull’applicazione e il rispetto del Regolamento potranno rivolgersi ad un solo interlocutore: cioè all’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale.
Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche.
Viene introdotta la figura del «Responsabile della protezione dei dati» (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti, che abbia acquisito competenze specifiche sulla normativa relativa e qualità professionali adeguate alla complessità del compito da svolgere.