Dopo un lungo iter per l’approvazione l’Unione Europea il 25 maggio 2016 ha approvato la nuova Normativa sulla Privacy 2016/679, più comunemente definita GDPR (General Data Protection Regulation). La norma europea istituisce nuove regole per le organizzazioni che detengono e trattano dati di persone fisiche residenti nella comunità europea, indipendentemente dal luogo in cui si trovano.
Il Regolamento è in vigore in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
Quali sono le principali novità introdotte dal GDPR?
Il GDPR disciplina la protezione dei dati delle persone fisiche con riferimento sia al trattamento sia alla libera circolazione di tali dati. Persegue due principali finalità:
- sensibilizzare e rendere consapevoli gli “interessati” (le persone fisiche) nel momento in cui rendono disponibili i propri dati personali
- responsabilizzare sia le imprese private sia le autorità pubbliche che utilizzano i dati personali nell’ambito delle loro attività
In sintesi:
- Maggiori diritti dell’interessato in termini di privacy personale. Ossia:
- I titolari devono dichiarare agli interessati, in modo trasparente, le finalità del trattamento e le misure di protezione dei dati
- Maggiori doveri per le organizzazioni:
- Il regolamento conferma che ogni trattamento di dati personali deve trovare fondamento in un’idonea base giuridica; i titolari del trattamento dei dati sono tenuti a seguire un percorso di adeguamento alle norme, nel rispetto dei fondamenti di liceità del trattamento, che coincidono, in linea di massima, con quelli già previsti dal Codice privacy d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, obblighi di legge cui è soggetto il titolare, ecc.).
Il titolare deve sempre poter dimostrare che è stato fatto tutto il possibile per evitare e prevenire la diffusione non autorizzata di informazioni sensibili, fino anche all’autodenuncia se dovessero verificarsi violazioni o furti di archivi contenenti dati sensibili.
- Il titolare è tenuto a:
- Fornire informazioni chiare agli interessati della raccolta dei dati
- Evidenziare gli scopi dell’elaborazione e i casi di utilizzo
- Definire i criteri di conservazione e di eliminazione dei dati
- Proteggere i dati personali con misure di sicurezza appropriate
- Avvalersi di un responsabile della protezione dei dati (per le organizzazioni di grandi dimensioni)
- Segnalare alle autorità eventuali violazioni
- Conservare la documentazione dettagliata
- Formazione:
- Obbligo di formare personale e dipendenti.
Cosa prescrive il nuovo regolamento?
- Dal momento in cui si raccolgono dati personali, la loro protezione e l’uso per il quale si raccolgono le informazioni devono essere dichiarate ed organizzate in modo chiaro; non sarà possibile raccogliere o gestire dati senza specificarne la finalità, nel rispetto della norma
- Diritto all’oblio degli interessati: non possono essere detenute le informazioni una volta venuto meno lo scopo
- Principio di responsabilità (accountability): non c’è un elenco minimo di precauzioni da prendere ma in caso di richiesta dell’autorità o della divulgazione non autorizzata dei dati personali occorre dimostrare di aver fatto il possibile per proteggerli in base ai mezzi disponibili
- Sanzioni: fino a 20 milioni di euro o fino al 4% del fatturato, comminate dall’autorità garante della privacy, e controlli da parte di Guardia di Finanza e tutte le forze di polizia
Queste modifiche influenzeranno i processi organizzativi del business di aziende e professionisti e si applicano a tutti, dalle autorità pubbliche alle piccole e medie imprese.