Novità e cambiamenti del nuovo regolamento europeo sui dati personali
Dal 25 maggio 2018 la normativa europea sul trattamento dei dati personali subirà modifiche radicali. In quella data entrerà infatti in vigore il nuovo GDPR, che rivoluziona la modalità di raccolta, accesso, archiviazione e gestione dei dati personali degli utenti.
Che cos’è il GDPR
Il GDPR (General Data Protection Regulation) è la sigla che fa riferimento al Regolamento UE 2016/679, emanato nel 2016 e che stabilisce le nuove regole in materia di trattamento dei dati personali. Il regolamento riguarda tutti i Paesi della Comunità Europea e segna una svolta a dir poco epocale.
Rispetto alle normative del passato, il nuovo regolamento allarga la prospettiva. Se fino ad oggi, in materia di data protection, si è posta l’attenzione principalmente alle persone fisiche , è ora il dato in quanto tale ad essere al centro dei riflettori. In sostanza, il dato personale, diventato essenziale per la conoscenza e l’elaborazione delle informazioni, e per lo sviluppo del business aziendale, necessita di una nuova normativa che ne regoli l’uso uniforme negli Stati Europei. Diventa vera e propria materia di scambio, dall’altissimo valore e con regole di condivisione sul mercato ben definite.
La gestione della privacy diventa processo aziendale
Questa nuova modalità di gestione dei dati rivoluziona la concezione della privacy. Se prima si parlava di obbligo o adempimento, oggi si deve iniziare a parlare di privacy come di un processo aziendale interno, che va gestito con cura in ogni fase, dall’ideazione all’esecuzione.
Nasce il Data Protection Officer
Il GDPR prevede l’introduzione di una nuova figura professionale, che si occuperà a livello aziendale della gestione dei dati personali. Si tratta essenzialmente del responsabile della protezione dei dati personali, che si occuperà di:
- Informare il titolare sugli obblighi del nuovo Regolamento Europeo;
- Vigilare sull’attuazione delle politiche di trattamento dei dati personali;
- Verificare l’attuazione del Regolamento Europeo;
- Garantire la conservazione dei documenti oggetto di protezione;
- Controllare che il titolare dei dati effettui la valutazione d’impatto sulla protezione dati;
- Fare da elemento di collegamento con il Garante della Privacy;
- Controllare che il titolare dei dati segua le disposizioni del Garante della Privacy;
- Controllare che le violazioni siano documentate e comunicate.
La figura del Data Protection Officer sarà obbligatoria in determinati casi:
- Il titolare del trattamento dati è un soggetto pubblico;
- Vengono trattate quantità rilevanti di dati;
- Vengono trattati dati sensibili e/o giudiziari.
Cosa succede in caso di violazione
Il GDPR stabilisce che la violazione di sicurezza sul trattamento dei dati personali viene riscontrata quando vi è distruzione, perdita, modifica e divulgazione – accidentale o illecita – dei dati.
In caso di violazioni, l’azienda deve:
- Notificare la violazione entro 72 ore alle Autorità di controllo;
- Segnalare alla vittima la violazione.
Con il nuovo regolamento, in Italia l’obbligo viene esteso a tutti i titolari di dati.
Per tutte le aziende che non si adeguano in tempo al nuovo regolamento, il rischio è di subire multe salatissime, che possono arrivare fino a €20 milioni o al 4% del fatturato globale.