GDPR: la nuova normativa privacy europea

Il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy.

Con questo regolamento, la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione europea e dei residenti nell'Unione europea, sia all'interno che all'esterno dei confini dell'Unione europea (UE).

Il testo, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed è pienamente efficace solo dal 25 maggio 2018.

Il GDPR pone fortemente l'accento sulla responsabilizzazione dei titolari e dei responsabili del trattamento, affinché adottino autonomamente una serie di comportamenti che permettano di dimostrare l'adozione di misure idonee al rispetto del Regolamento stesso.

La logica di base è infatti quella per cui prima si dovrà realizzare un'organizzazione adeguata alla tutela della privacy, e solo in un secondo momento il Garante si esprimerà sulla correttezza e adeguatezza delle scelte realizzate.

Questo obbligo emerge con evidenza dall'art. 24 del GDPR, che infatti stabilisce che "il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.

Importante sarà quindi la compliance (e cioè il rispetto di specifiche disposizioni impartite dal legislatore), sia in fase organizzativa, sia in fase successiva in caso di controlli da parte dell'Autorità o di richieste in genere.

Le principali novità:
-Si introducono regole più chiare su informativa e consenso;
-Vengono definiti i limiti al trattamento automatizzato dei dati personali;
-Poste le basi per l’esercizio di nuovi diritti;
-Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
-Fissate norme rigorose per i casi di violazione dei dati (data breach).

In generale, le priorità operative sono tre:
-La designazione in tempi stretti del Responsabile della protezione dei dati;
-L’istituzione del Registro delle attività di trattamento;
-La notifica dei data breach
All’autorità di controllo, il nostro Garante Privacy, sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, oltre al potere di infliggere sanzioni amministrative pecuniarie.

Infine è da sottolineare che c'è un solo modo per essere conformi e questo non può che essere basato su una valutazione caso per caso. L'approccio non può che essere principalmente di tipo LEGALE, con importanti ed evidenti ma non principali considerazioni in ambito informatico e aziendale.



ALTRI APPROFONDIMENTI



GDPR COSA FARE: GUIDA COMPLETA sulla scelta della giusta offerta

Siete pronti al GDPR? – Vediamo qualche fondamento per evitare sanzioni

Minori e GDRP in salsa italiana