GDPR: il nuovo Regolamento Europeo sulla protezione dei dati personali

Il GDPR 2018 è il nuovo Regolamento Europeo sulla Protezione dei Dati Personali, che obbligherà enti e aziende a mettersi in regola entro il 25 maggio di quest’anno.

Negli ultimi mesi le attenzioni su questa tematica si sono fatte sempre più vive (e con l’avvicinarsi del termine di scadenza lo saranno sempre di più) ma in realtà tale Regolamento UE 2016/679, steso dalla Commissione Europea, è entrato in vigore già dal 25 maggio del 2016.

Pubblicato sulla “Gazzetta Ufficiale” dell’Unione Europea, l’obiettivo è quello di regolamentare la protezione dei dati personali uniformando le normative di riferimento tra tutti i Paesi membri dell’UE (indipendentemente se il trattamento sia effettuato o meno nell’Unione).

I due anni di tempo, previsti per enti e imprese per uniformarsi al GDPR, sono dunque vicini alla scadenza: ecco le principali novità cui prestare attenzione.

GDPR 2018: cosa cambia

Cosa cambia con il nuovo Regolamento Europeo sulla protezione dei dati personali?

Un primo aspetto da tenere in considerazione riguarda la responsabilizzazione del titolare del trattamento.

Se da un lato gli adempimenti formali a suo carico diminuiscono (è lui stesso a stabilire con quali modalità tutelare i dati), dall’altro egli deve garantire:

• liceità, correttezza e trasparenza nel trattamento dei dati;
• raccolta dati solo per finalità esplicite e legittime;
• che i dati siano adeguati alle finalità per le quali sono trattati;
• esattezza e aggiornamento dei dati;
• adeguata conservazione e trattamento dei dati per garantirne la sicurezza e la protezione.

Il titolare, inoltre, deve comprovare l’effettivo rispetto di questi punti (accountability).

Tra le altre principali novità del GDPR è previsto che:

• in caso di violazione dei dati personali (data breach) il titolare del trattamento è tenuto a informare dell’accaduto l’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza. Egli deve anche proporre delle misure per porre rimedio alla situazione e, se tale violazione comporta rischi elevati per i soggetti interessati, dovrà informare anche loro;
• l’interessato ha il diritto alla portabilità dei dati, ovvero a ricevere (in un formato di uso comune e leggibile da un dispositivo automatico) i dati che lo riguardano e che aveva fornito in precedenza a un titolare del trattamento. L’interessato può trasmetterli a un altro titolare, senza impedimenti;
• l’interessato può usufruire del diritto alla cancellazione (o diritto all’oblio) dei dati personali che lo riguardano in caso di revoca del consenso, opposizione al trattamento o di utilizzo non più necessario rispetto alle finalità.

Regolamento UE 2016/679: ambito di applicazione territoriale

Il nuovo Regolamento Europeo 2016/679 sulla protezione dei dati personali amplia l’ambito di applicazione territoriale.

Secondo quanto stabilito all’art.3, infatti, il GDPR si applica indipendentemente dal fatto che il trattamento avvenga o meno nei paesi dell’Unione Europea.

In sostanza, sono incluse anche le aziende extra UE che hanno a che fare con il trattamento dei dati personali di cittadini europei per:

• offrire loro beni/servizi;
• monitorare il loro comportamento (sempre all’interno dell’Unione Europea).

GDPR: Responsabile protezione dati

Tra le novità del GDPR 2018 vi è anche l’introduzione di una nuova figura: il Responsabile della protezione dei dati.

Sulla base di quanto stabilito dall’art.39 del Regolamento sui dati personali, i compiti del DPO (Data Protection Officer) sono:

• informare il titolare o il responsabile del trattamento, o i dipendenti che eseguono il trattamento dati, degli obblighi previsti dal GDPR, oltre alle varie disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
• assicurarsi che venga osservato il Regolamento Europeo in merito a protezione dei dati, attribuzione delle responsabilità, sensibilizzazione e formazione del personale che partecipa ai trattamenti e alle attività di controllo;
• se richiesto, fornire un parere sulla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
• cooperare con l’autorità di controllo e fungere da punto di contatto con essa per ogni questione connessa al trattamento dei dati personali.

A seconda della gravità delle violazioni, le sanzioni per privati e imprese che non rispetteranno la nuova normativa europea sulla protezione dei dati personali rischiano di incidere in modo pesante sul futuro delle attività.

Sono previste, infatti, anche multe davvero salate, che possono arrivare fino a 10 o a 20 milioni di euro o fino al 2% o al 4% del fatturato mondiale annuo dell’azienda.

Per approfondire, ecco il Regolamento UE 2016/679 pubblicato sulla Gazzetta Ufficiale dell’Unione Europea.