Mancano ormai un paio di settimane al 25 maggio 2018, data in cui entrerà in vigore il GDPR, il Regolamento europeo sulla protezione dei dati (Regolamento UE 2016/679). La normativa nasce con lo scopo di dare una risposta, necessaria e urgente, alle sfide poste dagli incalzanti sviluppi tecnologici e dal sempre più crescente scambio di dati a livello globale. L’obiettivo è l’armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione Europea.
Trattandosi di un regolamento non necessita di normative di recepimento da parte degli Stati membri (come invece risultava necessario con l’abrogata Direttiva 95/46/CE, attuata in Italia con la legge poi convertita nel D.lgs. 196/03). Sarà quindi attuato allo stesso modo in tutti gli Stati dell’Unione, salvo che la disciplina interna risulti più specifica rispetto a quella comunitaria.
Non solo: la normativa si applicherà anche ad aziende stabilite al di fuori dell’Unione Europea, posto che queste offrano o prestino beni e servizi a persone (“interessati”) residenti nell’Unione Europea e/o monitorino il comportamento delle stesse.
Il GDPR introduce importanti implicazioni per la gestione della conformità alle prescrizioni sui dati personali. Richiede, dunque, significative innovazioni operative nella gestione di queste informazioni da parte delle aziende, tali da dover aggiornare l’intero sistema aziendale di governo dei dati.
Le nuove previsioni normative promuovono la responsabilizzazione (accountability) del titolare del trattamento, che si deve concretizzare nell’adozione di comportamenti pro-attivi a dimostrazione della concreta (e non meramente formale) protezione dei dati personali, per esempio mediante l’adozione di un sistema documentale interno, di strutture organizzative e di sistemi di vigilanza idonei ad assicurare la conformità.
In particolare, il GDPR introduce un nuovo modo di gestire la privacy all’interno delle aziende che passa attraverso alcuni elementi caratterizzanti:
- I nuovi concetti di Privacy by Design e Privacy by Default, ovvero la necessità dell’adozione di misure tecniche e organizzative adeguate a garantire i principi della protezione dei dati sin dal momento della progettazione e dell’impostazione dei sistemi di trattamento: si tratta di un’inversione di rotta rispetto al tradizionale modo di intendere la privacy nell’ambito aziendale, che richiede che i principi relativi alla protezione dei dati personali siano considerati sin dall’inizio di nuovi progetti;
- Un approccio basato sul rischio, che richiede ai titolari del trattamento ad analizzare i rischi per i diritti e le libertà degli interessati derivanti da nuovi trattamenti prima che questi siano posti in essere, sottoponendo ad una valutazione approfondita (Data Protection Impact Assessment o valutazione d’impatto) quelle attività suscettibili di presentare un rischio elevato per i diritti e le libertà degli interessati;
- Un sistema strutturato per la gestione dei responsabili del trattamento, ovvero di quei soggetti che, in forza di contratto o altro accordo, trattano i dati personali per conto del titolare dl trattamento (come i fornitori o i consulenti): è necessario che le aziende si accertino preventivamente dell’affidabilità dell’ente terzo a cui appaltare servizi e prodotti, analizzando le garanzie dello stesso a mettere in atto misure adeguate a proteggere i dati personali trattati e conferendogli l’incarico a trattare i dati personali in forza di un contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri;
- Il rafforzamento della figura dell’interessato tramite l’introduzione di nuovi diritti e il potenziamento di quelli già esistenti relativi all’accesso e alla gestione dei propri dati personali, ivi compresa la cancellazione: è il caso, ad esempio, del concetto di portabilità dei dati, che consiste nel diritto dell’interessato di ricevere i dati che lo riguardano in un formato strutturato nonché leggibile da dispositivo automatico o di richiedere che questi siano trasmessi da un titolare del trattamento a un altro. Le aziende dovranno disegnare un processo per la gestione di tali diritti e per garantire una chiara risposta all’interessato, da effettuarsi entro 1 mese dalla ricezione della richiesta;
- La designazione di un Data Protection Officer (DPO): si tratta di una figura che può essere interna o esterna all’azienda e che ha compiti di consulenza in materia di protezione dei dati personali, supporto al titolare e vigilanza dell’osservanza delle disposizioni normative da parte delle stesse. La nomina del DPO risulta obbligatoria per le autorità pubbliche e per i soggetti la cui attività principale consiste in trattamenti che richiedano il monitoraggio regolare e sistematico su larga scala degli interessati o il trattamento di dati particolari o relativi a condanne penale o reati;
- La notifica in caso di una violazione di dati personali (data breach), da effettuarsi all’autorità Garante entro 72 ore laddove sia ravvisato un rischio per i diritti e le libertà degli interessati (e anche a questi ultimi, nel caso in cui i rischi identificati risultino elevati): questo presuppone uno sforzo da parte delle aziende per il disegno e l’implementazione di un processo strutturato per l’analisi e la gestione degli incidenti aventi ad oggetto dati personali.
Il mancato rispetto delle disposizioni della normativa GDPR può condurre le aziende a pesanti sanzioni amministrative che, in taluni casi, possono essere commisurate al fatturato annuo dell’azienda, con multe fino a 20 milioni di euro o pari al 4% del fatturato mondiale annuo.
