Il 25 maggio 2018 diventerà operativo il nuovo regolamento europeo in materia di privacy e di trattamento dei dati personali, che, benchè pensato per i colossi del web, sarà applicabile a tutti, con obblighi particolari a carico delle realtà nella quali il trattamento dei dati presenta rischi specifici.
Il Regolamento 2016/679 (GDPR – General Data Protection Regulation), che innova la disciplina in materia di trattamento di dati personali per adeguarla ai nuovi usi legati al progresso tecnologico (si pensi ai social network e ai nuovi servizi sul web) è in vigore dal 2016, ma diventerà pienamente operativo il 25.5.2018.
Ispirato al principio di responsabilizzazione o accountability, il Regolamento esce dalle logiche delle misure di sicurezza minime e standard, per imporre al titolare l’individuazione e l’implementazione di adeguate misure di sicurezza da valutare caso per caso. Sarà quindi onere del titolare dimostrare tale adeguatezza.
Sia per la complessità dei compiti demandati a chi tratta dati personali, sia per garantire che il trattamento degli stessi avvenga secondo elevati standard di tutela, il Regolamento prevede che gli organismi pubblici nonché tutte quelle realtà private che effettuano alcuni tipi di trattamento, su larga scala, debbano obbligatoriamente nominare un DPO (Data Protection Officer), ossia una figura professionale ad hoc interna o esterna all’azienda, che affianchi e consigli il titolare nell’attività di trattamento.
Altre importanti novità previste dal GDPR, riguardano i concetti di “Privacy by default” e “Privacy by design”, in base ai quali il titolare non potrà considerarsi adempiente rispetto alle prescrizioni del Regolamento, semplicemente adeguandosi a mere formalità burocratiche, ma dovrà al contrario assumere un approccio dinamico rispetto al tema della privacy e del trattamento dei dati personali, disegnando sin dall’inizio processi aziendali che garantiscano l’effettiva tutela e minimizzando l’utilizzo dei dati personali.
La disciplina prevista dal Regolamento impone un vero e proprio processo di adeguamento. In base alle prescrizioni del Reg. 2016/679 sarà infatti obbligatorio tenere un Registro dei trattamenti di dati personali, in cui dovranno essere esplicitate le tipologie di dati trattati nonché le tipologie di trattamento effettuate, oltre ad un Registro delle violazioni. In alcuni casi sarà inoltre necessario effettuare la cosiddetta valutazione di impatto (DPIA), cioè una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati. Tale analisi dovrà condurre ad escludere il verificarsi in concreto dei rischi legati al trattamento dei dati personali e a valutare l’eventuale rischio residuo, da comunicare al Garante. Particolari oneri sono inoltre previsti nel caso in cui si verifichino violazioni. Se infatti è probabile che dalla stessa possano derivare rischi per i diritti e le libertà degli interessati, scatta l’obbligo di comunicazione della violazione al Garante, la quale deve essere inoltrata entro 72 ore dal verificarsi del data breach e comunque, senza ingiustificato ritardo, oltre, nei casi più gravi, alla notifica all’interessato.
Per adeguarsi al GDPR e per evitare le sanzioni, particolarmente rigorose, inoltre, ci si dovrà confrontare con tematiche come la portabilità dei dati, i tempi di conservazione degli stessi, nonché il diritto all’oblio, che, se da un lato rappresentano un bastione di tutela in un mondo in cui, a causa del progresso tecnologico, la possibilità di tenere sotto controllo i propri dati, sembrava destinata a sfumare, dall’altro rappresentano senza dubbio una sfida per qualsivoglia realtà aziendale, che per adeguarsi al Regolamento dovrà predisporre o potenziare il proprio sistema interno di tutela.