Il Regolamento UE 2016/679 relativo alla protezione dei dati personali entrerà in vigore dal 25 maggio prossimo. Tale Regolamento, noto anche come GDPR (General Data Protection Regulation), è un atto direttamente applicabile quindi non necessiterebbe di recepimento da parte dell’ordinamento italiano. Il Legislatore Italiano ha ritenuto però di dover comunque intervenire per creare un raccordo tra la normativa italiana vigente e la nuova normativa europea. Il coordinamento è stato avviato attraverso lo schema di decreto legislativo, approvato dal Consiglio dei Ministri in esame preliminare il 21 marzo, dopo il lavoro svolto dalla commissione incaricata di adeguare la normativa italiana in materia di dati personali.
Il nuovo Regolamento adotta un modello basato sull’Accountability, cioè sulla Responsabilizzazione. Il Titolare del Trattamento diventa primo centro di responsabilità e deve dimostrare di aver adottato tutte le misure giuridiche, organizzative e tecniche adeguate per la protezione dei dati personali.
Le principali novità del GDPR sono:
L’INFORMATIVA: tutti i titolari devono aggiornare e revisionare l’informativa privacy da fornire agli interessati. Il GDPR arricchisce il contenuto dell’informativa con ulteriori indicazioni che il titolare deve fornire all’interessato in modo chiaro, conciso e trasparente prima di procedere con il trattamento.
LE TUTELE: il GDPR introduce nuovi diritti a tutela dell’interessato che si aggiungono a quelli preesistenti. Questi sono: il diritto all’oblio, diritto alla limitazione del trattamento e diritto alla portabilità dei dati.
ELENCO DELLE ATTIVITA’: il GDPR prevede l’elaborazione di un Registro dei Trattamenti, cioè un elenco di tutte le attività di trattamento dei dati personali svolte sotto responsabilità del titolare e del responsabile del trattamento.
LE SANZIONI: il GDPR inasprisce le sanzioni prevedendo, per alcune fattispecie di reato, un massimo pari 20 milioni di euro o il 4% del fatturato mondiale, se superiore. Il Regolamento lascia agli stati membri la possibilità di prevedere sanzioni penali.
IL VIGILANTE: è prevista l’introduzione di una nuova figura, il DPO, Data Protection Officer, obbligatoria per alcune tipologie di attività e trattamenti. Ha la funzione di vigilare sull’applicazione delle norme sulla privacy da parte del titolare o del responsabile del trattamento.
ANALISI E GOVERNANCE: il GDPR introduce un approccio Risk-based. Alla tutela rimediale (che comunque rimane) viene affiancato un sistema di sicurezza proattivo, basato sulla prevenzione e su strumenti aventi carattere anticipatorio per la tutela dei dati personali. Tra questi strumenti emerge la Valutazione d’impatto (un’analisi dei rischi che deriva dal trattamento dei dati e individua le misure idonee per contrastarli) obbligatoria per alcune tipologie di trattamenti ma in ogni caso opportuna per poter rispondere al principio dell’accountability (dimostrazione di aver adottato le misure organizzative e tecniche ed averle valutate).
ILLECITI: il GDPR parla del Data Breach, la violazione della sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, trattati o conservati, e ne prevede una procedura specifica per la gestione dell’evento.
