Dal 25 maggio 2018 il GDPR (General Data Protection Regulation- Regolamento UE 2016/679) sostituirà di fatto il precedente Codice Privacy (D.lgs. 196/2003) ed entrerà in vigore in tutti i 27 Stati Membri nello stesso momento.
Le norme sulla sicurezza dei dati sono nettamente rafforzate e obbligano a determinati obblighi di comunicazione oltre la previsione di importanti sanzioni amministrative e penali, per i casi specifici, per le aziende che non dovessero provvedere entro il 25 maggio.
Il Regolamento EU sulla privacy stabilisce che la violazione al GDPR avviene nel momento in cui i dati processati sono riferiti a dati europei, indipendentemente dal luogo in cui vengono gestiti e manipolati, e il trattamento non è regolato come da normativa.
Scopo del GDPR è il trattamento lecito dei dati personali, perseguendo trasparenza nei confronti dell’interessato; la raccolta deve essere sempre finalizzata e legittima e pertinente l’attività svolta e devono essere conservata per un arco di tempo necessario per il conseguimento degli scopi per cui vengono trattati, non oltre. Il trattamento è consentito previo consenso dell’interessato al quale vengono confermati i diritti di rettifica e cancellazione.
Il nuovo Regolamento EU Privacy stabilisce obblighi in capo al responsabile del trattamento dei dati, prevedendo appunto sanzioni ma anche, in alcuni casi, un registro delle attività riferito alla manipolazione e gestione dei dati trattati. Per meglio operare e conservare i dati sarà necessario prevedere e applicare misure tecnico-organizzative per raggiungere un buon livello di sicurezza rapportato al rischio. Qualsiasi violazione dei dati dovrà essere comunicata all’autorità di controllo italiana (Garante Privacy) e dovranno essere fatte valutazioni d’impatto e designate figure autorizzate al trattamento e responsabili.
Il responsabile può essere una soggetto interno non in conflitto con gli interessi dell’azienda o un soggetto esterno denominato DPO (Data Protection Officer): quest’ultimo dovrà essere facilmente raggiungibile e gli sono demandate responsabilità e compiti nella totale libertà d’azione, senza intromissione o interferenza dell’azienda.
Il GDPR è stato pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione sarà attiva dal 25 maggio 2018; nonostante l’obbligo risulta che molte aziende non abbiano ancora avviato le pratiche di adeguamento,rischiando di essere soggette a sanzioni pari fino al 4% del fatturato e 20 milioni di euro.
Il principio base è richiamato dall’art. 1 par.2: “Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.”
Timeline del GDPR
7 dicembre 2011 – Rivelata la prima bozza della proposta di riforma
25 gennaio 2012 – Pubblicata la prima bozza della proposta della Commissione di riforma della normativa sulla protezione dati
7 marzo 2012 – Opinione dell’European Data Protection Supervisor
20 marzo 2012 – Opinione del Gruppo Articolo 29
11 gennaio 2013 – Philipp Albrecht, relatore per il Parlamento europeo, pubblica il suo rapporto sulla riforma
12 marzo 2014 – Il Parlamento europeo approva in prima lettura la propria versione del regolamento (cioè il testo approvato dalla Commissione LIBE nell’ottobre del 2013)
15 giugno 2015 – Il Consiglio dell’Unione europea approva in prima lettura la sua versione del regolamento. Si passa al “trilogo” (dialogo a 3).
Claudio Gori,
consulente GDPR e privacy aziendale
www.claudiogori.it
info@claudiogori.it
