GDPR - General Data Protection Regulation

I punti chiave del nuovo regolamento sulla protezione dei dati

Ormai manca poco alla fatidica data del 25 maggio 2018, giorno nel quale acquisirà efficacia il GDPR, ovvero il regolamento generale sulla protezione dei dati. Si tratta del più grande cambiamento in materia di Privacy degli ultimi 20 anni e riguarderà tutte le Organizzazioni (aziende, società, imprese, enti pubblici…) che trattano informazioni classificabili come “dati personali” appartenenti a cittadini europei. L’obiettivo del regolamento è quello di uniformare la normativa a tutela della Privacy a livello europeo e incentivare le società ad assumersi maggiori responsabilità nei confronti dei dati degli utenti.

Il periodo concesso fino al 25 maggio 2018 è stato utile alle aziende per rivedere le proprie modalità di trattamento dei dati degli utenti. Dopo questa data, chiunque tratterà informazioni appartenenti a cittadini europei, dovrà tenere come riferimento quanto previsto dal GDPR nella progettazione di qualsiasi attività.

Per le Organizzazioni che non si adegueranno alla nuova normativa sono previste delle pesanti sanzioni che ammontano dai 10 ai 20 milioni di euro oppure fino al 4% del fatturato.

Tra i principali cambiamenti introdotti dal GDPR va evidenziato l’obbligo di comunicazione tempestiva al Garante della Privacy e agli utenti interessati in caso di data breach, specificando la natura della violazione, le conseguenze e le misure messe in atto per porvi rimedio.

Inoltre, viene introdotto il Registro del trattamento dei dati personali. In questo documento l’azienda dovrà tenere traccia di tutte le informazioni riguardanti il trattamento dei dati, come le finalità del trattamento, le categorie degli interessati, il periodo di conservazione dei dati, gli eventuali trasferimenti verso terzi e le misure di sicurezza adottate.

E le organizzazioni che hanno acquisito il consenso sul trattamento dei dati prima del 25 maggio 2018 come dovranno comportarsi? Le informazioni restano valide se sono state acquisite nel rispetto di quanto indicato nel GDPR. In caso contrario sarà necessario richiedere nuovamento il consenso per il trattamento dei dati a ogni utente.

Le figure introdotte dal GDPR

Per poter avere un quadro completo e comprendere al meglio le nuove disposizioni, è fondamentale conoscere alcune delle principali figure individuate dal regolamento:
Interessato / Persona fisica. È il proprietario dei dati.

• Titolare del trattamento / Controller. È la figura che determina le finalità e i mezzi del trattamento dei dati personali
• Responsabile del trattamento. Si tratta della “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”
• Data Protection Officer (DPO). Ovvero il responsabile della protezione dei dati. Questa figura è necessaria solo per organismi pubblici, nel caso in cui le attività principali prevedano un monitoraggio regolare delle persone fisiche o se vengono trattati dati sensibili su larga scala
• Supervisor Authority. È un’autorità pubblica con la funzione di assicurare una corretta applicazione del GDPR. In Italia è il Garante per la protezione dei dati personali

I principi cardine del GDPR

Alla base del GDPR ci sono tre principi cardine che hanno l’obiettivo di introdurre e diffondere una cultura aziendale del tutto innovativa e che ha come obiettivo primario la tutela delle informazioni riguardanti i cittadini europei. Ciascuno dei principi seguenti dovrà essere applicato al meglio da ogni Organizzazione fin dalla sua origine:

• Privacy by Default. È uno dei concetti più importanti introdotti dal GDPR. Con l’introduzione di questo principio la tutela della vita privata dei cittadini diventa una scelta prioritaria per ogni Organizzazione. Ogni volta che un utente cede i propri dati ad una terza parte, deve essere sempre prevista una procedura interna che disciplina tutte le modalità di acquisizione, trattamento, protezione e modalità di diffusione di quei dati
• Privacy by Design. La protezione dei dati degli utenti interessati deve essere una priorità fin dalla nascita di ogni processo aziendale e ogni aspetto legato alla sicurezza deve essere progettato secondo quanto previsto dal GDPR fin dal principio
• Accountability. Questo principio prevede che ogni Titolare del trattamento garantisca tre misure fondamentali: una completa accessibilità alle informazioni da parte dell’Interessato, la capacità di rendere conto a terzi delle scelte intraprese e la capacità di far rispettare il regolamento

I diritti degli interessati

Uno degli aspetti più importanti del GDPR riguarda l’introduzione di quattro diritti basilari che hanno l’obiettivo di garantire la sicurezza e proteggere la privacy di tutti i cittadini europei.

• Diritto di accesso. Garantisce all’Interessato di poter ricevere in qualsiasi caso una copia dei propri dati personali oggetto del trattamento
• Diritto di cancellazione (diritto all’oblio). Integra e rafforza l’attuale norma sulla cancellazione dei propri dati personali. Infatti, l’Organizzazione, a fronte di una richiesta dell’Interessato, è tenuta a cancellare i dati e informare della richiesta di cancellazione anche altri titolari di terze parti che trattano quei dati
• Diritto di limitazione del trattamento. L’Interessato ha il diritto di sospendere il trattamento dei dati per bloccarne l’utilizzo. La sospensione può avvenire non solo in caso di violazione del trattamento dei dati ma anche quando viene richiesta una rettifica dei dati
• Diritto alla portabilità dei dati. Permette all’utente interessato di far trasferire i suoi dati personali a terze parti

Fonti

• Regolamento Generale sulla Protezione dei Dati - Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016
• Guida all'applicazione del Regolamento Europeo in Materia di Protezione dei Dati Personali