GDPR: entrata in vigore il 25 maggio 2018

Continua il countdown verso il 25 maggio 2018, fatidico giorno in cui entrerà in vigore a tutti gli effetti il nuovo Regolamento generale sulla protezione dei dati, l’ormai noto GDPR (General Data Protection Regulation). Il Regolamento UE 2016/679 è stato pubblicato sulla Gazzetta Ufficiale il 24 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, ma inizierà ad avere efficacia solo dal 25 maggio 2018. Tra circa tre mesi insomma. Varrà per tutti gli Stati membri dell’Unione Europea, ma non solo: le norme si applicano infatti anche alle aziende con sede fuori UE che offrono prodotti e servizi all’interno del mercato europeo.

Le novità introdotte sono molte. Facciamo un po’ di chiarezza.

Il GDPR nasce dal bisogno di regolamentare con più trasparenza il trattamento dei dati personali di cittadini, aziende e Pubbliche Amministrazioni. In altre parole, prevede più semplicità delle norme riguardanti il trasferimento dei dati personali dall’UE verso i Paesi esteri e più chiarezza sul consenso e sull’informativa della privacy. Questo è stato un bisogno sempre più urgente e sentito, imposto un po’ dai nuovi modelli di crescita economica e un po’ dalle sfide degli sviluppi tecnologici.

Per essere precisi, questo nuovo regolamento non modifica le norme nazionali o delle istituzioni europee relative all’accesso ai documenti amministrativi, ma si preoccupa di chiarire l’assenza di un rapporto di contraddizione, in quanto i valori di “trasparenza” e “tutela efficace della riservatezza” sono entrambi meritevoli di protezione. Sarà quindi necessario aggiornarsi costantemente sul rapporto tra privacy e trasparenza.

Maggior chiarezza sarà fatta anche sul trattamento automatizzato dei dati personali, ponendo anche le basi per l’esercizio di nuovi diritti come, ad esempio, il diritto alla portabilità dei propri dati personali per trasferirli da un titolare del trattamento ad un altro. Questo non vale ovviamente per i dati contenuti in archivi di interesse pubblico, si pensi agli uffici anagrafi.

Strettamente legato a quanto appena esposto, è il concetto di accountability, ossia la responsabilizzazione dei titolari del trattamento di questi dati e i rischi che tale trattamento può comportare per la libertà dei diretti interessati.

Un’altra importante questione è sicuramente quella del data breach: il nuovo GDPR fissa infatti norme rigorose per i casi di violazione dei dati. Se dovesse verificarsi una tale situazione, sarebbe necessario un approccio congiunto a livello europeo per condividere e scambiare informazioni in real-time sulle minacce presenti nei singoli Paesi, per prevenire attacchi simili anche in altri Stati. Questa collaborazione (almeno) a livello continentale risulterà sempre più indispensabile perché rispondere ad un data breach in modo efficace comporta un approccio multidisciplinare. E poi, com’è ovvio che sia, il titolare del trattamento dovrà comunicare eventuali violazioni di dati al Garante.

In quest’ottica le aziende devono prima di tutto comprendere l’importanza dei dati e il valore che vi si può ricavare e poi anche gli ingenti danni causati da un’eventuale perdita di dati. Siano essi di natura economica o relativi ad una minaccia della libertà delle persone e dei loro diritti.

Un’ulteriore elemento di novità introdotto dal GDPR, è la figura professionale del DPO, Data Protection Officer, individuato in base alla conoscenza specialistica del nuovo Regolamento, è l’incaricato di assicurare una gestione corretta dei dati personali negli enti e nelle imprese. Questo vuol dire che fa riferimento direttamente ai vertici, è indipendente perché non riceve istruzioni circa i compiti da svolgere ed infine gestisce in autonomia le risorse sia umane che finanziarie utili al compito di Responsabile della protezione dei dati.

Sono ancora molte le aziende e le Pubbliche Amministrazioni, soprattutto in Italia, che devono ancora informarsi e mettersi al passo con il GDPR. Nei prossimi mesi sarà bene tener monitorata la situazione e fare il possibile per adattarsi in modo tale da non incorrere in possibili (salate) sanzioni.