Il Regolamento UE 2016/679 (GDPR)

Il 25 maggio 2016 è entrato in vigore il Regolamento UE 2016/679 (General Data Protection Regulation), che sarà applicato a partire dal 25 maggio 2018.

Il GDPR disciplina la protezione delle persone fisiche con riferimento sia al trattamento dei dati personali sia alla libera circolazione di tali dati.

L’evoluzione tecnologica ha favorito una sempre maggiore condivisione dei dati personali e la loro circolazione, pertanto si è reso necessario regolamentare tale materia al fine di garantire alle persone fisiche un’adeguata protezione.

Il nuovo Regolamento UE quindi persegue due principali finalità:

• da un lato, sensibilizzare maggiormente le persone fisiche (cd. “interessati”) nel momento in cui rendono disponibili i propri dati personali;
• dall’altro, responsabilizzare sia le imprese private sia le autorità pubbliche che utilizzano i dati personali nell’ambito delle loro attività.

Tra le principali modalità per tutelare e rendere più consapevoli gli interessati, il GDPR stabilisce innanzitutto che il consenso deve essere manifestato con una dichiarazione o azione positiva, esplicita, specifica ed informata in merito ad un determinato trattamento dei dati; quindi non si ritiene più corretto il consenso espresso con il silenzio o l’inattività.

Inoltre per una maggiore tutela dei minori di 16 anni è necessario anche il consenso dei titolari della responsabilità genitoriale.

In secondo luogo, l’interessato ha diritto di ottenere l’accesso ai suoi dati personali al fine di avere contezza di un trattamento che lo riguarda.

Il GDPR, poi, codifica espressamente il diritto all’oblio, come previsto dalla Corte di Giustizia europea, che consente all’interessato di chiedere ed ottenere che i suoi dati siano cancellati.

Infine un’altra importante novità introdotta dal citato regolamento è rappresentata dal diritto alla portabilità dei dati, al fine di favorire il trasferimento dei dati personali tra i titolari dei trattamenti su richiesta dell’interessato.

Invece, per quanto riguarda la responsabilizzazione delle aziende, è necessario porre in essere determinate attività.

In primo luogo, bisogna procedere ad un’analisi dell’organizzazione aziendale e della documentazione già utilizzata per valutare la conformità a quanto disposto dal GDPR.

Successivamente, è necessario identificare i ruoli e le responsabilità in merito al trattamento dei dati personali. In particolare il titolare ed il responsabile del trattamento devono porre in essere adeguate misure ed adottare politiche aziendali volte a garantire la protezione dei dati (cd. accountability).

In alcuni casi è necessario nominare anche un Responsabile della protezione dei dati (cd. DPO), il quale ha il compito di effettuare un controllo interno all’azienda in merito al rispetto della normativa sulla protezione dei dati.

A questo punto il titolare o il responsabile dovranno creare il registro dei trattamenti, al fine di dimostrare la conformità delle attività di trattamento dei dati eseguite sotto la loro responsabilità.

Poi, per poter assicurare adeguata protezione al trattamento dei dati personali, è più che opportuno effettuare un’analisi degli assets aziendali per valutare l’impatto del trattamento previsto, di conseguenza devono essere implementate le relative misure di sicurezza.

Inoltre, il GDPR dispone che in caso di accessi non autorizzati, perdita o furto di dati vi è l’obbligo di comunicare tempestivamente e, ove possibile, entro 72 ore sia agli interessati che alla competente autorità le suddette violazioni (cd. data breach).

Infine è molto importante tener presente che il regolamento, in caso di violazione della normativa, stabilisce due livelli di sanzioni amministrative pecuniarie ed il livello più elevato prevede sanzioni fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.