GDPR, l’Italia, insieme al resto delle nazioni europee, dovrà prepararsi ad un nuovo cambiamento rilevante relativo al trattamento dei dati personali ed alla loro protezione. Questa volta è l’Unione Europea a dettare un nuovo approccio che farà registrare, senza distinzioni, un forte impatto su legislazioni, aziende, cittadini, authority di tutto il continente europeo.
Il nuovo regolamento europeo entrerà in vigore nel 2018 e coinvolgerà tutti coloro che producono, conservano o cancellano dati, promuovendo, addirittura, la creazione di nuove figure professionali specifiche.
Tutti abbiamo appreso del recente provvedimento del garante per la protezione dei dati personali relativo alla necessità di implementare una serie e informazioni e/o comunicazioni relativamente alla presenza di cookie all’interno di portali e siti web (argomento ben noto a tutti i web designer o web agency che si occupano di realizzazione si siti web).
L’ultimo intervento dell’UE, assolutamente indispensabile nell’era digitale e del web, ha invece come obiettivo la previsione di una regolamentazione comune tra i vari Stati ai quali verrà concesso un periodo di almeno due anni per cercare di coordinare le normative esistenti con il nuovo assetto giuridico di riferimento.
Il Regolamento dell’Unione Europea sulla protezione dei dati (GDPR, 679/2016), è stato approvato nel dicembre 2016 e porterà significativi cambiamenti nel corso di 2/3 anni. Il testo presenta, infatti, alcune novità molto interessanti per il nostro quadro giuridico.
Nell’era di Internet occorreva una regolamentzione dei dati che circolano sui cloud, delle banche dati delle forze dell’ordine intercomunicanti tra loro e dei social network, nasce la GDPR, si era manifestata da tempo l’esigenza di prevedere una regolamentazione che fosse comune tra i vari Paesi, soprattutto, in caso di scambio di dati oltre le frontiere.
Al contempo, tuttavia, alcuni interpreti hanno messo in evidenza la forse eccessiva libertà che il Regolamento lascia agli Stati di integrare e dettagliare il quadro giuridico con il rischio di perdere l’attenzione verso l’uniformità sovranazionale.
L’attenzione del legislatore europeo ha reso necessario l’introduzione della nuova GDPR, rivolta ai privati, alle aziende e al settore pubblico, e mira a garantire un ambiente dei dati sicuro. Riassumendo, le novità che hanno più attirato gli operatori del settore sono le seguenti:
- il diritto all’oblio;
- la portabilità dei dati;
- l’analisi del rischio e la valutazione dell’impatto sulla privacy;
- l’informativa più dettagliata con maggiori tutele per l’interessato (nonché, obblighi per i controller);
- la cosiddetta privacy by design;
- la nascita del Data Protection Officer.
Il regolamento generale sulla protezione dei dati (GDPR) mira sia a rafforzare il livello della loro protezione per le persone fisiche i cui dati personali sono oggetto di trattamento, sia a migliorare le opportunità per le imprese nel mercato unico digitale attraverso la riduzione di oneri amministrativi.
Il rafforzamento dei diritti di protezione offrirà, sicuramente, un maggiore controllo sui dati personali. Si avranno, infatti, norme più specifiche che consentiranno ai responsabili del trattamento di trattare i dati attraverso l’obbligo di consenso delle persone interessate ed una migliore informazione su quanto accade ai dati personali una volta condivisi. Inoltre, se un giovane di meno di 16 anni desidererà utilizzare servizi in linea, il prestatore dovrà verificare il consenso dei genitori.
Per quanto riguarda le imprese, il regolamento prevede un insieme unico di regole valido in tutta l’UE al fine di evitare situazioni in cui norme nazionali possano ostacolare lo scambio di dati transfrontaliero.
Si creeranno, in questo modo, condizioni di concorrenza leale e le imprese saranno incoraggiate a trarre beneficio dal mercato unico digitale.
Aumenteranno le responsabilità, inoltre, dei responsabili del trattamento dei dati. Le autorità pubbliche e le imprese dovranno designare un responsabile della protezione dei dati incaricato di garantire il rispetto delle norme. Il regolamento, inoltre, mira a proteggere i dati personali trattati ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, inclusa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.
Lo scorso 29 gennaio, durante il convegno organizzato da Europrivacy a Milano, si è discusso circa l’importanza del pianificare la GDPR per essere pronti entro i 24 mesi. Sei grandi campi come risk management, privacy by design, la nuova figura del DPO, data breach, servizi IT e profilazione contro anonimizzazione, si incrociano con le sfide organizzative, di budget, tecnologiche e legislative che si dovranno vincere per stare al passo.
Un punto particolaremente interessante è quello che impone, alle realtà che controllanti, obblighi sia di analisi del rischio e di previsione sull’impatto che certi tipi di trattamenti possono avere sulla privacy, sia di creazione di nuove figure professionali quali, ad esempio, il Data Protection Officer che si dovrà occupare di valutare la situazione della privacy e delle misure di sicurezza sia nel pubblico sia nel privato.
Notevole anche l’attenzione posta sulla privacy by design, ovvero, sulla valutazione del livello di privacy di un prodotto o di un servizio già al momento della sua creazione o attivazione così da radicare il principio di protezione dei dati personali nel prodotto o servizio stesso.
Le misure di privacy by design imposte dalla direttiva europea sono impegnative e chi non si adeguerà a tale regolamento e violerà il trattamento dei dati personali dei cittadini rischia multe parecchio “salate”.
Dal 2018, dunque, i cittadini potranno affidarsi alle autorità nazionali per il cosiddetto ‘data breache‘, ovvero, la notificazione delle violazioni. Quello che possiamo affermare sin d’ora è che tutte le novità apportate dal nuovo regolamento europeo avranno, senza alcun dubbio, effetti pratici su tutti i sistemi informatici dal momento che tutti i soggetti che trattano dati personali, piattaforme web comprese, dovranno occuparsi di minimizzare tali trattamenti garantendo, in modo prioritario ed in misura ancora maggiore di quanto fatto sinora, trasparenza, compatibilità e sicurezza.
Qui alcuni link utili:
Regolamento EU GDPR 2016/679 Italiano