Il 25 maggio 2018 entrerà in vigore in Europa il nuovo Regolamento UE 2016/679 conosciuto anche come General Data Protection Regulation o GDPR. Trattasi di un regolamento molto importante e voluto fortemente dall’Unione Europea che riguarda il trattamento e la libera circolazione dei dati personali. Un regolamento che manderà in pensione, una volta per tutte, le vecchie direttive sulla protezione dei dati che risalgono addirittura al 1995.
Il GDPR abbraccia una quantità enorme di ambiti, dai big data passando per i social network sino ai diritti dei cittadini europei come utenti di Internet. Un regolamento che nasce per avere una certezza giuridica e maggiore semplicità delle norme che riguardano il trasferimento dei dati dall’Unione Europea verso il resto del mondo. Trattasi di una risposta, in un certo senso, alle evoluzioni delle tecnologia e dei nuovi modelli di crescita economica. Una delle novità più importanti di questo nuovo regolamento, infatti, è che anche le grandi big company americane dovranno rispettarlo. Tutte le aziende che operano all’interno dell’Europa, offrendo servizi e prodotti, saranno, quindi, tenute a rispettare queste nuove regole. In caso contrario sono previste sanzioni pesantissime.
GDPR, cosa prevede
Il nuovo Regolamento UE 2016/679 o GDPR prevede importanti novità in materia di trattamento dei dati. Innanzitutto sono introdotte regole più chiare su informativa e consenso. Inoltre, l’Unione Europea ha stabilito limiti ben precisi al trattamento automatizzato dei dati personali. Ancora, il nuovo regolamento ha posto delle basi per l’esercizio di nuovi diritti. Il GDPR stabilisce anche nuovi e rigidi criteri per il trasferimento dei dati delle persone al di fuori dell’Unione Europea. Infine, il nuovo regolamento specifica nuove e rigorose norme per quanto riguarda la violazione dei dati.
L’Unione Europea ha introdotto il così detto “sportello unico” o “one stop shop” il cui obiettivo è quello di semplificare la gestione del trattamento dei dati. Le imprese europee potranno rivolgersi direttamente al Garante della Privacy del loro Paese.
Una delle novità più importanti del GDPR è l’introduzione del diritto alla “portabilità dei dati” che permette alle persone di poter trasferire i loro dati personali da un titolare del trattamento ad un altro. Unica eccezione per i dati contenuti all’interno di archivi di interesse pubblico come possono essere quelli delle anagrafi.
Divieto, invece, per il trasferimento dei dati verso Paesi al di fuori dell’Europa o verso organizzazioni intenzionali che non rispondano ai rigidi e precisi standard di sicurezza per quanto concerna la tutela dei dati personali.
Tra le altre maggiori novità che introduce il GDPR anche il nuovo principio di “responsabilizzazione“. Il regolamento prevede, infatti, una maggiore responsabilizzazione dei titolari del trattamento. Inoltre, il GDPR porta con sé anche un maggiore considerazione dei rischi che un trattamento dei dati può comportare per quanto concerne i diritti e la libertà delle persone coinvolte.
Sul fronte della sicurezza, il GDPR prevede che i titolari dei trattamenti debbano comunicare le violazioni dei diritti personali al Garante. Nel caso la violazione rappresentasse un problema serio per i diritti e la libertà delle persone, i titolari dei trattamenti dovranno informare rapidamente ed in modo chiaro tutti coloro che sono stati coinvolti, evidenziando, contestualmente, tutte le misure che saranno adottate per limitare i danni.
I titolari dei diritti potranno decidere di non informare le persone coinvolte qualora ritenessero che non sia presente un rischio elevato per i loro diritti, oppure nel caso siano già state attuate tutte le misure necessarie ad arginare il problema. I titolari dovranno effettuare una comunicazione pubblica nel caso quella personale possa comportare dei rischi.
I Garanti, comunque, avranno il potere di imporre ai titolari dei diritti l’obbligo di informare le persone coinvolte.
In caso di non rispetto delle regole, il GDPR prevede sanzioni sino a 20 milioni di euro.
Tra le ulteriori novità introdotte dal GDPR anche la figura del DPO (Data Protection Officer) che dovrà garantire una gestione corretta dei dati personali nelle imprese e negli enti.
Novità anche per quanto riguarda il diritto all’oblio. La richiesta di cancellazione dei dati ad un titolare del trattamento dovrà essere trasmessa anche a tutti coloro che li utilizzano.