Regolamento Europeo Privacy GDPR
Dopo circa venti anni dall’emanazione della prima direttiva Europea in tema di Privacy – Dir. 95/46/CE – il 2016 ha registrato un traguardo epocale e di profondo cambiamento per la riforma europea in ambito di tutela dei dati personali – la Data Protection – con l’approvazione del Regolamento Europeo Privacy – GDPR (General Data Protection Regulation).
Infatti già nel 2012 la Commissione Europea presentava una riforma globale in materia di protezione dei dati nella UE, per rafforzare ed adeguare i diritti della Privacy online ed incentivare l’economia digitale europea.
Il 15 dicembre 2015 è stato raggiunto l’accordo con il Parlamento Europeo e il Consiglio – riunione del c.d. “Trilogo” – dopo anni di trattative.
Successivamente
Il nuovo pacchetto Protezione dei dati personali è stato pubblicato in Gazzetta Ufficiale UE il 4 maggio 2016 (Regolamento UE 2016/679 – GDPR).
Definitivamente applicato nei Paesi dell'Unione Europea dal 25 maggio 2018.
Regole per la Privacy in chiave moderna
Benefici per i cittadini e per le imprese.
Cos'è cambiato?
Unica Legge uguale per tutta la UE
Applicata un’unica normativa per imprese e pubbliche amministrazioni appartenenti all’Unione europea; tali norme sono applicate anche alle imprese extraeuropee che offrono servizi e prodotti in terra UE.
Diritto all'Oblio
Concreta possibilità per il cittadini europei di far rimuovere le notizie personali diffuse nel web. Il fornitore del servizio online – Titolare del trattamento dei dati – dovrà procedere alla cancellazione, a meno che la notizia sia ancora di rilevante interesse pubblico. Quindi non tutto si potrà cancellare!
Accountability
Totale Responsabilità per il Titolare che ha l’obbligo di rispettare e di adottare complesse misure organizzative, tecniche e legali nel trattamento dei dati personali, attraverso un Modello Organizzativo Privacy, con l’onere di verificare (audit) e dimostrare quanto fatto.
Valutazione d'Impatto - Privacy Impact Assessment -
Analisi specifica dei potenziali rischi e valutazioni di contrasto prima di ogni trattamento. Dovranno essere adottati modelli organizzativi per garantire la Compliance normativa Privacy, con particolare attenzione alla sicurezza. Non obbligatoria e quindi di natura volontaria per PMI, a meno che non vi sia un rischio elevato nel trattamento o nella tipologia dei dati.
Privacy by Design
Contemplare misure di prevenzione e sicurezza Privacy già nella fase di progettazione di prodotti o servizi informatici.
Notificazione al Garante
Non più necessaria. Decaduto l’obbligo di notificare preventivamente al Garante il trattamento dei dati personali particolarmente riservati. Risparmio per le imprese di circa 130 milioni di euro all’anno!
Responsabile della protezione dei dati - Data Protection Officer -
Nuova figura professionale per la gestione della sicurezza dei dati personali. Realtà già presente in alcuni paesi della UE, obbligatoria in Germania, Ungheria e Slovacchia, con il Regolamento Europeo sarà formalizzata in tutti i paesi dell’Unione europea. Prevista la designazione del Data Protection Officer obbligatoria per imprese e PA, per le PMI la natura è volontaria a meno che non si configura un rischio elevato nel trattamento dei dati su larga scala.
Data Breach
In caso di violazione ai sistemi informatici è obbligatorio per il Titolare del trattamento Notificare l’evento all’Autorità Garante entro 72 ore dal momento in cui ne è venuto a conoscenza. La comunicazione deve essere inoltrata anche all’Interessato quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Portabilità dei dati personali
Obbligo per il Titolare del trattamento di facilitare il trasferimento dei dati dell’Interessato qualora questi lo richieda (es. da un gestore di servizi di comunicazione elettroniche ad un altro; da un social ad un altro).
Accesso facilitato dati personali
Il Titolare del trattamento deve agevolare l’Interessato ad accedere ai propri dati personali anche per conoscere, in particolare, quali dati sono oggetto del trattamento.
Più protezione e consapevolezza...
Con regole più chiare e trasparenti la Conformità normativa appare corposa nella documentazione da produrre, soprattutto in forma obbligatoria – Accountability; Privacy Impact Assessment; Data Breach – anche se per le PMI è prevista meno burocrazia e meno oneri economici. Prevale il principio di “Responsabilità”, in capo all’impresa o PA, che impone un’attenzione strategica verso tutti i processi aziendali coinvolti nel trattamento dei dati.
Inasprite le sanzioni amministrative per violazioni alla normativa indicata nel Regolamento europeo che possono arrivare fino a 20 Milioni di euro o al 4% calcolata sul fatturato globale (Mondiale!).
Ebbene in questa direzione si inserisce la figura chiave del Responsabile della Protezione dei dati – Data Protection Officer – il quale saprà indirizzare l’Impresa o la PA, attraverso un Modello Organizzativo Privacy, alla realizzazione di una Compliance normativa adeguata, efficiente e consapevole.
Risultato!
Adeguata protezione ai dati personali dei cittadini europei e maggiore competitività alle imprese nel mercato digitale.