Il 25 maggio è entrato in vigore in tutti i Paesi d’Europa, Italia compresa, il Regolamento Ue 2016/679, più conosciuto come GDPR (General Data Protection Regulation) che riguarda il trattamento e la libera circolazione dei dati personali. Ma cos’è in concreto il GDPR e cosa bisogna fare per rispettarla?
Cos’è il GDPR
Il GDPR nasce dall’esigenza di certezza giuridica, armonizzazione e semplicità delle norme che riguardano i dati personali trasferiti dall’Ue verso altre parti del mondo. I cambiamenti tecnologici in atto impongono infatti di pensare alla tutela dei dati personali dei cittadini dell’Unione Europea, in particolare nei confronti dei grandi player del mondo hi-tech.
In estrema sintesi col GDPR:
- Si introducono regole più chiare su informativa e consenso;
- Vengono definiti i limiti al trattamento automatizzato dei dati personali;
- Si pongono le basi per l’esercizio di nuovi diritti;
- Si stabiliscono criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
- Si fissano norme rigorose per i casi di violazione dei dati.
Le norme si applicano anche alle imprese situate fuori dall’Unione Europea che offrono servizi o prodotti all’interno del mercato Ue.
Tutte le aziende, ovunque abbiano la propria sede dentro o fuori l’UE, devono quindi rispettare le nuove regole, a rischio di gravi sanzioni nel caso di inadempienze.
Il GDPR in Italia
Il GDPR è entrato in vigore prima di essere recepito dal Governo italiano con i decreti legislativi, per i quali c’è tempo fino al 22 agosto. Quindi finché non ci saranno i decreti anche a livello nazionale varrà la versione europea. Tuttavia sono tante le novità introdotte anche in Italia dall’entrata in vigore del GDPR a livello europeo.
La prima è l’introduzione dello sportello unico (One Stop Shop), ovvero il fatto che le imprese che operano in più Stati possono rivolgersi al proprio Garante della Privacy per semplificare la gestione dei trattamenti e garantirsi l’uniformità di trattamento.
Operativamente le priorità immediate per le aziende sono tre:
- Designare in tempi stretti il Responsabile della protezione dei dati;
- Istituire il Registro delle attività di trattamento;
- Notificare i data breach (violazioni della tutela dei dati).
Novità del GDPR per gli utenti: la portabilità dei dati
Il GDPR introduce il diritto alla “portabilità” dei propri dati personali al fine di trasferirli da un titolare del trattamento a un altro (esclusi gli archivi pubblici come le anagrafi) e contemporaneamente il divieto di trasferimento dei dati personali verso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.
Cosa deve fare il responsabile del trattamento dei dati in caso di violazione
Ciò che è centrale nell’idea del GDPR è la responsabilizzazione del titolare del trattamento dei dati verso le persone. In particolare, nel caso di violazione che rappresenti una minaccia per i diritti e le libertà delle persone, il responsabile del trattamento dei dati deve:
- Provvedere con una comunicazione pubblica nei casi in cui ritenga che la violazione non comporta un rischio per i diritti delle persone oppure se ha già adottato contromisure di sicurezza.
Inoltre il GDP Officer, o responsabile della protezione dei dati, assume un nuovo status all’interno dell’azienda per cui:
- Riferisce direttamente al vertice,
- È indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
- Ha risorse umane e finanziarie adeguate alla mission.
- Deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”.