Dal 25 maggio 2018 sarà pienamente operativo il GDPR (General Data Protection Regulation), ossia la nuova disciplina europea contenuta nel Regolamento UE 2016/679 circa il trattamento e la circolazione dei dati personali. Questo regolamento (clicca qui per leggere il testo completo), che sarà adottato in tutti i Paesi dell’Unione Europea, in Italia abrogherà completamente il codice del 1995 e il successivo codice in materia di protezione dei dati personali del 2003 (legge 196/2003).

Cosa cambia per le aziende con il Regolamento Europeo Privacy?
Ecco alcuni novità su cui prepararsi e nuovi concetti da dover mettere presto in campo.

Accountability

Innanzitutto il GDPR prevederà modifiche strutturali e organizzative al modo in cui vengono pensati, raccolti e trattati i dati personali. Dal 25 maggio diventa obbligatorio elaborare un sistema documentale di gestione della privacy, contenente tutti gli atti, regolarmente aggiornati, elaborati per soddisfare i requisiti di conformità al Regolamento. Si parla di accountability, cioè della corretta organizzazione e della documentazione e tracciabilità obbligatoria delle attività di trattamento. Chi non organizza bene la gestione dei dati che raccoglie è punibile per questo semplice fatto, a prescindere dall’abusivo utilizzo dei dati che ne possa derivare.

Sanzioni

Le sanzioni saranno realizzate “su misura” e si terrà conto se l’azienda fa parte di Gruppi societari multinazionali o meno. In Italia fino ad oggi le sanzioni possono arrivare ad un massimo di 360mila euro. Con l’ingresso del Regolamento Europeo, invece, si apriranno due nuovi scenari (più pesanti), il cui fattore discrimante sarà l’appartenza a gruppi o meno:
a) saranno previste sanzioni fino a €20.000.000 per i privati e le imprese non facenti parte di gruppi;
b) le sanzioni potranno, invece, arrivare fino al 4% del fatturato complessivo (consolidato) su base mondiale per i Gruppi societari multinazionali
(fonte: academy.mailup.it)

Diritto all’oblio

Una delle principali novità della riforma europea riguarda la diffusione dei dati personali ed il “diritto all’oblio”. L’art. 17 del GDPR è dedicato proprio a questo e recita: «L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione».

Data Protection Officer (DPO)

Il nuovo regolamento introduce una nuova figura: il Data Protection Officer (DPO), traducibile come Responsabile per la protezione del trattamento dei dati. Una figura interna alle aziende che avrà il compito di verificare il corretto trattamento dei dati. Un nuovo ruolo, questo, obbligatorio in 3 casi particolari:
1) chi tratta i dati sia un soggetto pubblico
2) l’azienda tratta una rivelante mole di dati personali
3) l’azienda tratta sistematicamente dati sensibili o giudiziari.

Queste sopra elencate sono le principali novità introdotte dal GDPR, ma non le uniche. Cambieranno anche i criteri per stabilire a chi si applicano le norme, l’informativa, i meccanismi per l’esercizio dei diritti degli interessati e tanti altri aspetti. Per maggiori dettagli vi rimandiamo a questo link.