A partire dal 25 maggio 2018 il GDPR, ovvero, il General Data Protection Regulation, cambia le normative nazionali in materia di privacy, andando a modificare la gestione del trattamento dei dati personali da parte di aziende ed enti pubblici.

Questo nuovo regolamento europeo in fatto di privacy è stato necessario in quanto la rivoluzione tecnologica, l’utilizzo di big data e dei trattamenti automatizzati, non rispettano i principi generali della vita privata e familiare di ogni individuo, si ritiene che la protezione dei dati personali attualmente non sia sufficiente, per cui si è sentita l’esigenza di intervenire con delle nuove direttive.

Quali sono i nuovo obblighi e le responsabilità?

Cerchiamo dai fare un po’ di chiarezza sul nuovo regolamento europeo sulla privacy, il cui scopo principale è quello di assicurare ai dati personali dei cittadini una protezione più omogenea in caso ci siano sistemi interamente o parzialmente automatizzati.

Il Titolare ed il Responsabile del trattamento dei dati sono, quindi, chiamati ad assolvere dei nuovi obblighi e a ricalibrare la gestione dei sistemi di trattamento.

Il GDPR 2018 promuove la responsabilizzazione dei titolari del trattamento e l’adozione di nuove politiche proattive mediante Accountability, che tengano conto del rischio che un trattamento può comportare per i diritti e libertà dei soggetti interessati.

Con la GDPR 2018 cambia l’informativa obbligatoria, quest’ultima dovrà contenere:

• Periodo della conservazione dei dati
• Intenzione del titolare al tipo di trattamento dei dati e al loro trasferimento verso un terzo paese o un’organizzazione internazionale
• Diritto dell’interessato a proporre un reclamo a un’autorità di controllo
• Esistenza di un processo automatizzato decisionale

Molto importante sarà anche il nuovo regolamento in materia di Data Breach, che estende a tutti i Titolari e Responsabili l’obbligo di comunicare al Garante le avvenute violazioni dei dati personali ed è stato regolamentato anche il “diritto all’oblio” che consiste nella cancellazione immediata dei dati personali in caso ci siano condizioni che rendono impossibile il proseguimento del trattamento.

Le imprese dovrà impegnarsi maggiormente per la gestione del “diritto alla portabilità” che porterà all’obbligo dei titolari di realizzare formati in grado di facilitare la trasmissione ad altri titolari.

Per cui, l’interessato avrà il diritto di non subire decisioni basate solo sul trattamento automatizzato, compresa la proliferazione, che producono effetti giuridici o riguardano in modo importante e significato la sua persona.

Questa garanzia verrà meno solo in caso in cui la decisione sia necessaria per concludere o eseguire un contratto tra interessato e titolare del trattamento, o autorizzata dal diritto dell’Unione o di uno Stato membro cui è soggetto il titolare del trattamento o ancora, qualora ci sia il consenso esplicito dell’interessato.

Chi è il DPO?

Il DPO è l’acronimo di Data Protection Officer, un’altra novità introdotta dal GDPR rispetto al regolamento attuale in maniera di privacy, si tratta della figura “Responsabile della protezione dei dati”.

La sua sede può essere nell’Unione Europea o extra Europea, la cosa importante è che vengano garantite le informazioni relative ai contatti e che sia raggiungibile.

Questa figura aziendale è indipendente dalla governance ed ha il compito di sorvegliare che vengano eseguiti gli obblighi sulla protezione dei dati posti in capo dal titolare o dal responsabile del trattamento.

Nel caso in cui si verifichino delle inosservanze verso gli obblighi, saranno responsabili sempre il titolare o il responsabile ma mai il DPO.

Che sanzioni sono previste per chi non si adegua alla nuova normativa sulla Privacy?

Come accennato, dal 25 maggio 2018 i cittadini e gli utenti web avranno maggiore tutela e le aziende che non risulteranno conformi al nuovo regolamento saranno soggette a sanzioni pesanti.

Stando a quanto dichiarato da Federprivacy, a partire da quella data, le sanzioni amministrative per chi viola il regolamento UE 2016/679 potranno arrivare fino a 20 milioni di euro o il 4% del fatturato annuo totale.

Queste sanzioni sono molto severe, colpiranno economicamente le aziende ma si ripercuoteranno negativamente anche sull’immagine, perché verranno giudicate inaffidabili, incapaci di proteggere i dati delle persone fisiche e giuridiche, di conseguenza potrebbero avere una perdita importante.

Attualmente, pare che da una ricerca condotta dalla Compuware Corporation fatta su 400 chief information officer, solo il 26% delle grandi aziende italiane hanno un piano per garantire la conformità con il GDPR 2018.

 Inoltre, stando ai dati raccolti da Federprivacy, il 72% delle imprese e di PA non si sono ancora dotate di una figura responsabile della protezione dei dati, una figura importante che dovrà vigilare sul rispetto delle regole e che sarà il punto di contatto con il Garante della Privacy.

Perché la scelta di intervenire sulla disciplina della privacy?

La necessità di intervenire sulla disciplina della privacy è da ritrovare nella veloce evoluzione della tecnologia e nella globalizzazione che rende sempre più insidioso proteggere i dati personali, la cui condivisione e raccolta è aumentata moltissimo negli ultimi anni.

 Per questo motivo si è sentita l’esigenza di intervenire ulteriormente a favore delle persone e della propria privacy, le aziende sono tenute ad adeguarsi in materia di protezione dei dati come indicato nel GDPR 2018 in combinazione con altre misure per una maggiore tutela.

Leggi anche: HTTP e HTTPS: come effettuare correttamente il passaggio senza tralasciare il SEO