Cosa cambia da maggio 2018 nel regolamento sulla Privacy e sul trattamento dei dati:

Dal prossimo mese di maggio il nuovo regolamento europeo sulla Privacy e sul trattamento dei dati personali lancerà nuovi strumenti, disciplina più rigida per le aziende e tanto altro ancora.
Un nuovo “mondo” con il quale converrebbe fin da subito prendere la giusta dimestichezza, e che invece manifesta ancora concreti e ampi ritardi da parte delle istituzioni e organizzazioni italiane.

 

I consigli del Garante

Ad ogni modo, cerchiamo di andare con ordine ricordando come a partire dal mese di maggio entrerà in operatività il regolamento europeo sulla protezione dei dati, conosciuto con l’acronimo GDPR
Un regolamento che impatterà in misura notevole su enti e imprese, e sui loro profili organizzativi e di responsabilità legale.

Proprio per permettere alle parti interessate di arrivare pronti all’appuntamento del 25 maggio 2018, il Garante ha recentemente rilasciato alcune linee guida suggerendo di adottare fin da subito tre priorità, non più prorogabili nel tempo: 

  1. l’individuazione di una figura che sia Responsabile della protezione dei dati (il c.d. DPO, o Data Protection Officier);
  2. l’istituzione di un Registro delle attività del trattamento, ove indicare i trattamenti effettuati e le procedure di sicurezza adottate;
  3. la notifica delle violazioni dei dati personali (Data Breach).

 

Peraltro, proprio il terzo dei punti sopra esplicitati sembra essere quello più annoso, se si tiene in considerazione che il GDPR stabilisce che i titolari dei trattamenti avvisino l’Autorità di Controllo entro 72 ore dalla violazione, contro i (in media) 205 giorni odierni.

 

Le novità del GDPR

È anche vero che, come si può facilmente evincere dalla lettura del provvedimento normativo, il GDPR richiederà degli sforzi molto più ampi rispetto alle tre priorità individuate dal Garante.

 

  1. Si pensi, ad esempio, all’istituzione della c.d. privacy by design, ovvero l’obbligo di adottare fin dall’inizio del processo produttivo quei comportamenti in grado di assicurare correttezza, integrità, riservatezza e sicurezza dei dati. 
  2. Ad accompagnare la privacy by design anche la privacy by default, che invece obbliga l’adozione di strumenti e modalità di trattamento dei dati che possano ridurre il rischio.
  3. Ancora, entra in gioco il concetto di pseudo-anonimizzazione, per il quale bisognerà tenere separato il dato dal suo identificativo, con conseguenti riflessi sulla necessità di dotarsi di nuovi interventi tecnologici utili per l’abbinamento delle informazioni. 
  4. Infine, il regolamento europeo introduce il principio di “accountability”, ovvero l’obbligo da parte di PA e privati di mettere in pratica tutto ciò che viene stabilito in fase di analisi dei rischi: sarà dunque il titolare del trattamento dei dati che dovrà dimostrare di aver adottato tutte le precauzioni previste per ridurre al minimo i rischi, nel caso in cui sfoci una controversia.
    Le sanzioni per errati adempimenti sono piuttosto elevate: fino a 20 milioni di euro, o fino al 4% del fatturato. 

 

Applicazione nei Paesi UE e extra UE

È anche vero che il regolamento andrà “adattato” ai singoli casi nazionali, poiché esistono pur sempre dei settori in cui la normativa nazionale andrà a prevalere in caso di mancata armonizzazione sovranazionale.

Ne deriva che, per esempio, il concetto di “libertà di espressione” continuerà a divergere da uno Stato membro all’altro, così come la gestione dei dati elaborati per la sicurezza nazionale. 

In ogni caso, per poter disporre di maggiore chiarezza non si potrà che attendere l’entrata in vigore del GDPR, con la conseguente successiva istituzione del Gruppo dei Garanti, che condurrà i Garanti nazionali a stabilire le linee guida applicative.

Per quanto infine concerne i Paesi fuori dall’UE una delle principali novità sarà il divieto di trasferimento dei dati (tranne alcune condizioni eccezionali).
Un discorso a parte deve comunque essere effettuato nelle relazioni tra UE e Stati Uniti, tra cui è entrato in vigore il Privacy Shield.
 

I nostri Prodotti