Last Updated on August 11, 2017
A maggio 2018 entrerà ufficialmente in vigore il cosiddetto GDPR (General Data Protection Regulation), il nuovo Regolamento Privacy UE 2016/679 in materia di gestione e tutela dei dati personali.
Ambito di applicazione
Il campo di applicazione del Regolamento è estremamente ampio, a conferma della notevole e crescente rilevanza del tema della tutela dei dati personali.
La nuova regolamentazione si applica non solo all’ipotesi in cui il trattamento dei dati avvenga nel territorio dell’Unione da parte di un soggetto che ha sede nel territorio Europeo, ma anche ai trattamenti effettuati fuori dell’Unione da soggetti con sede all’interno dell’UE ed ai trattamenti effettuati da soggetti che, se anche non stabiliti nel territorio dell’Unione, offrano beni o servizi a soggetti ubicati all’interno dello stesso. In sintesi, il GDPR si applica a ogni trattamento di dati che, in qualche misura, abbia a che fare con l’UE.
La nuova disciplina copre ogni possibile tipologia di trattamento dei dati: raccolta, registrazione, organizzazione conservazione, estrazione, modifica, consultazione, etc., e si rivolge a tutti i possibili soggetti – ivi compresi i datori di lavoro – che trattano i dati.
Le novità
Il Regolamento non determina una rottura drammatica rispetto alla disciplina attualmente vigente in Italia, vale a dire quella contenuta nel Codice della Privacy del 2003, ma rafforza i principi generali ivi contenuti.
Vi sono però alcune novità, quali l’introduzione della figura del DPO (Data Protection Officer), vale a dire una figura con funzioni di controllo sul trattamento dei dati, obbligatoria in alcuni contesti e per il trattamento di taluni dati. Inoltre, è stato previsto un vero e proprio diritto all’oblio informatico, nonché l’obbligo, a carico delle aziende, di comunicare al Garante entro 72 ore eventuali fughe di dati, e (per le aziende con più di 250 dipendenti) la tenuta di un registro di tutte le attività di trattamento del dati, per poter dare conto, in caso di richiesta, di tutte le cautele adottate.
Sanzioni
Il Regolamento inasprisce significativamente le sanzioni applicate in caso di violazione, che possono arrivare sino a 20 milioni di Euro o fino al 4% del fatturato mondiale. Pertanto, il tema della privacy – che fino ad oggi è stato considerato un tema di scarso rilievo, quasi del tutto privo di significativi risvolti pratici – diventa per le aziende un tema di assoluta rilevanza.
Come comportarsi
Fino ad oggi il trattamento dei dati avveniva, nella maggioranza dei casi, in modo assolutamente automatico ed inconsapevole, senza alcuna particolare cautela. Con l’entrata in vigore della nuova disciplina, i titolari dei trattamenti (e quindi anche i datori di lavoro) non potranno più permettersi di gestire i dati personali in questo modo, ma dovranno adeguarsi ai nuovi precetti contenuti nel Regolamento. Le aziende dovranno quindi avere piena consapevolezza (e dovranno dare conto) di quali e quanti dati trattano, delle modalità e dei tempi di conservazione di tali dati, nonché delle ragioni per le quali gli stessi vengono conservati.
E’ quindi necessario che, prima dell’entrata in vigore del Regolamento, le aziende effettuino un vero e proprio audit interno, per verificare che la propria organizzazione e le procedure adottate siano conformi alle prescrizioni contenute nel Regolamento stesso, accertandosi che siano assicurati adeguati livelli di tutela della privacy.