Nuovo regolamento Ue sulla privacy

Il nuovo Regolamento (Ue) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (che abroga la direttiva 95/46/CE – regolamento generale sulla protezione dei dati) è stato pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016 ed è entrato in vigore il 24 maggio 2016, ma la sua piena attuazione è stata prevista a distanza di due anni, dal 25 maggio 2018.

Entro tale data tutti dovranno applicare le nuove norme, in tutto il territorio dell’Ue, dai grossi colossi quali google, banche, farmacie, le PA, le Pmi e le organizzazioni no profit; in altre parole tutti coloro che maneggiano dati degli utenti, anche quelli più basilari.

I pilastri del nuovo cambiamento sono da un lato la protezione dei dati personali e dall’altro la libera circolazione dei medesimi dati all’interno dei confini dell’Unione Europea.

COSA CAMBIA PER LE IMPRESE |
Con l’avvento del nuovo Regolamento europeo in materia di protezione dei dati le imprese e i liberi professionisti dovranno metter mano al tema privacy con uno sguardo non solo al quadro giuridico nazionale ma in un’ottica comunitaria. Il fine ultimo infatti è quello di applicare le medesime norme in tutto il continente, per garantire la certezza giuridica per le imprese e lo stesso livello di protezione dei dati in tutta l’UE. I vantaggi vanno quindi dall’avere un’unica autorità per la protezione dei dati, anche per attività svolte all’estero e norme univoche che troveranno applicazione anche ai soggetti extra-europei che operano nell’Unione europea, innalzando e uniformando i gradi di tutela di protezione di tali dati entro i confini comunitari – le imprese nei loro percorsi di crescita e di espansione sono volte sempre più verso l’internalizzazione e che i big data, il digital single market e la fabbrica 4.0 si stanno sempre più affermando come un importante investimento per le imprese.

SANZIONI |
Ignorare il nuovo regolamento o commettere errori nella sua applicazione comporterà pesanti conseguenze. Alcune violazioni del regolamento, infatti, sono punibili con sanzioni pecuniarie fino al 4% del fatturato totale annuo dell’azienda o fino ad un massimo di 20 milioni di euro. Sarà il titolare del trattamento a dover dimostrare, in caso di controversie, di aver adottato tutte le precauzioni previste per ridurre al minimo i rischi.

NOVITÀ |
Sostanzialmente cambia l’approccio a tutto il sistema. Se prima l’obiettivo principale da parte delle aziende era quello di svolgere una serie di adempimenti a cui le stesse dovevano provvedere, ora si pone l’attenzione sul principio di sensibilizzazione delle imprese. L’approccio sarà basato infatti sul rischio e sulle misure di accountability (responsabilizzazione) di titolari e responsabili, ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

Il primo fra tali criteri di adozione dei comportamenti proattivi è sintetizzato dall’espressione inglese “data protection by default and by design” ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili per assicurare la correttezza, l’integrità, la riservatezza e la sicurezza dei dati. Viene introdotto inoltre il principio della “privacy by default” ossia l’utilizzo di strumenti e modalità di trattamento volte a ridurne il rischio. Anche la designazione di un responsabile della protezione dati (RPD, ovvero DPO Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento, essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/del responsabile. Tra i compiti del RPD rientrano la sensibilizzazione e la formazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto.

Il nuovo Regolamento avrà un impatto su enti e imprese, non solo dal punto di vista tecnologico, ma anche e soprattutto dal punto di vista organizzativo e legale. Secondo il nuovo regolamento europeo ogni azienda infatti dovrà:
– effettuare un controllo interno;
– verificare il proprio livello di esposizione ai rischi;
– svolgere una serie di interventi per mitigare i rischi;
– innalzare il livello di tutela;
– documentare le scelte prese secondo un processo di accountability che caratterizza l’intero regolamento.

Sulla base di tutte quelle scelte prese, motivate e documentate, le aziende saranno valutate. Enti pubblici e imprese saranno dunque maggiormente responsabilizzati, anche attraverso, come anzidetto, sanzioni piuttosto elevate.

LINEE GUIDA DEL GARANTE PER LE PA |
Le prime linee guida arrivano anche dal Garante che ha suggerito alle Pubbliche Amministrazioni tre priorità:
– la designazione in tempi stretti del Responsabile della protezione dei dati (o DPO – Data Protection Officer);
– l’istituzione del Registro delle attività del trattamento, dove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate;
– la notifica delle violazioni dei dati personali, i cosiddetti Data Breach.

ALLEGATI |
> Gazzetta ufficiale dell’Unione europea (SCARICA ALLEGATO)