Il countdown è quasi agli sgoccioli e manca pochissimo all’entrata in vigore del Regolamento UE 679/2016, noto ai più come GDPR (acronimo di General Data Protection Regulation).

Cos’è il GDPR

Ma di cosa parliamo nello specifico?

Si tratta di una riforma globale della normativa sulla protezione dei dati personali nell’Unione Europea, maggiormente in sintonia con le evoluzioni tecnologiche ed i nuovi modelli economici, rispondente ad esigenze di certezza giuridica e di armonizzazione del sistema.

In Italia il decreto legislativo di adeguamento non è ancora stato approvato (la delega al Governo è scaduta il 21 maggio), e ciò ha contribuito a creare un clima di preoccupazione nel mondo imprenditoriale. Il quadro normativo interno a cui le imprese dovranno fare riferimento, infatti, è ancora caratterizzato da molte incertezze, nonostante l’imminente operatività del nuovo Regolamento.

I destinatari del GDPR

La questione GDPR riguarda tutte le aziende, enti, liberi professionisti che raccolgono e trattano i dati personali dei cittadini UE, quantunque non aventi sede nel territorio dell’Unione e a prescindere dalla modalità di trattamento (sia essa automatizzata, semi-automatizzata o priva di automatismo).

Ogni trattamento, quindi, dalla raccolta alla elaborazione, registrazione, conservazione, consultazione, fino alla distruzione di un dato, indipendentemente dalle modalità con il quale venga effettuato, sarà soggetto alla nuova normativa.

Accountability e risk management

Viene inoltre imposto un nuovo approccio alla protezione dei dati, imperniato sul concetto di una maggiore responsabilizzazione di tutte le parti in causa (c.d. Accountability), che segna il passaggio da una visione di “mero adempimento” ad una visione gestionale e dinamica della privacy, indirizzata a conciliare gli scopi aziendali tradizionali con la tutela di un diritto della personalità qual è il diritto alla riservatezza, applicando anche a quest’ultimo il concetto – già noto alle imprese – di risk management.

Tale concetto di “rischio” va focalizzato sull’impatto che il trattamento dei dati – ed una violazione degli stessi – potrebbe avere sugli interessati (come ad es. furto di identità, negazione di un finanziamento, fino ad arrivare alla discriminazione) prevedendo ed adottando le misure conseguenti ed adeguate (e non più “minime” come richiesto invece dall’attuale Codice della Privacy).

Gli effetti del GDPR

Ciò ovviamente comporterà delle modifiche organizzative in azienda, la quale dovrà assumere un approccio innovativo basato appunto sulla cultura dell’accountability e la gestione del rischio. Sono previste, ad esempio, nuove figure aziendali (come il Data Protection Officer), si rende necessario un piano di compliance al GDPR ed una maggiore capacità di rilevare gli incidenti (c.d. Data Breach) anche dotandosi di ulteriori e nuovi strumenti tecnologici.

In chiusura, preme sottolineare come in caso di riscontrata non conformità al Regolamento da parte del soggetto obbligato, all’Autorità di controllo è conferito – tra gli altri – il potere di infliggere sanzioni amministrative pecuniarie. Tali sanzioni, rispetto all’attuale disciplina, risultano pesantemente inasprite: ad es. in caso di violazione relativa al consenso dell’interessato o in caso di inosservanza di un ordine da parte dell’Autorità di controllo, la sanzione può arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo.

Ciò con il chiaro intento di imprimere un vero cambiamento rispetto al corretto uso e trattamento dei dati personali.

Proprio il 25 maggio, giorno di entrata in vigore della normativa, nella Bloo Academy terremo il Seminario “Accadde Oggi: GDPR • Le novità e gli adempimenti”. Il relatore sarà Francesco Paradiso, consulente in copyright, privacy e diritto delle nuove tecnologie.
L’evento è gratuito previa registrazione su Eventbrite: iscriviti subito!