l 25 maggio 2018 è diventato operativo il Regolamento Europeo UE 2016/679 sulla protezione dei dati personali, o GDPR (General Data Protection Regulation) che va ad abrogare la precedente Direttiva europea 95/46/CE.
Lo scopo della Commissione Europea, l’organo esecutivo dell’Unione Europea composto da un rappresentante per ogni stato membro, è stato quello di incrementare la protezione dei dati personali delle persone c.d. fisiche (ogni essere umano) e di armonizzare a livello europeo la normativa di riferimento. Inoltre al fine di rafforzare concretamente le garanzie di protezione dei dati personali, il regolamento si applica a qualunque azienda/ente che offra beni o servizi ai soggetti appartenenti all’Unione Europea, anche con sede fuori dall’UE.
Il regolamento, in quanto tale, ha effetto immediato su tutti gli stati membri dell’Unione Europea. In Italia il GDPR è stato accolto con il Decreto legislativo del 10 agosto 2018, n. 101, che è andato ad aggiornare il precedente Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196).
Quali sono le principali modifiche?
Informativa e consensi
Il GDPR sancisce l’addio alle informative infinite e complicate, papiri comprensibili solo ai legali (in teoria). Ora l’interessato ha il diritto di ricevere informative trasparenti, dalle quali emerge chiaramente quali sono le finalità e modalità utilizzo dei dati personali raccolti, i diritti che l’interessato può esercitare e tutti i riferimenti di contatto del titolare del trattamento.
Accesso e portabilità del dato
Il regolamento europeo ha introdotto il diritto di accesso ai dati. Lo stesso consiste nella possibilità per l’interessato di conoscere con precisione quali dati possiede un’azienda e come vengono gestiti. Per cui l’azienda, in ottica di trasparenza nei confronti dell’interessato, è tenuta a fornirvi un riscontro con la copia degli stessi nel rispetto delle tempistiche previste dal regolamento, ovvero entro un mese senza indugio.
Diritto all’oblio
Tra le novità più interessanti (al tempo stesso impattanti per il titolare del trattamento) introdotte dal GDPR, vi è il diritto all’oblio.
Per oblio si intende la cancellazione definitiva dei dati personali dell’interessato posseduti da una società ed estensione della cancellazione anche ai soggetti terzi ai quali i dati sono stati trasferiti.
Notifica di Data Breach
Un’altra importante novità portata dal regolamento, è quella del “data breach” ovvero la violazione dei dati da parte di un soggetto terzo. Un data breach si potrebbe verificare nel caso di un attacco informatico di un malintenzionato che riesce a violare le misure di sicurezza di un’azienda, entrando in possesso di grandi quantità di dati personali e in alcuni casi anche sensibili. Se si verifica un evento simile, l’azienda colpita, deve necessariamente segnalare al Garante delle privacy (l’autorità nazionale di riferimento per le tematiche privacy) non oltre 72 ore dal momento in cui ne è venuta a conoscenza, e nei casi più gravi, bisogna informare anche i diretti interessati. Prima del GDPR non era richiesta nessuna comunicazione per violazioni di questo tipo.
Nomina di un DPO – Data Protection Officer
Il data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679.
Il DPO, figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Il DPO è richiesto nei seguenti casi:
a) quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Sanzioni amministrative
Se gran parte degli adeguamenti erano già presenti nella normativa privacy pre esistente, il GDPR ha notevolmente inasprito le sanzioni amministrative per chi commette reati legati al trattamento dei dati personali, innalzando notevolmente il livello di attenzione del top management di qualsiasi tipo di azienda a riguardo. Ricordiamo infatti, che il GDPR si applica a tutte le organizzazioni che raccolgono e utilizzano dati personali di persone fisiche, senza distinzione geografica o industriale. In sostanza il nuovo regolamento prevede sanzioni amministrative fino a 20 milioni o il 4% del fatturato globale del trasgressore.