Il 24 maggio 2016 è entrato in vigore il Regolamento UE2016/679 relativo al trattamento e alla protezione dei dati personali, noto come GDPR (General Data ProtectionRegulation) e divenuto obbligatorio a partire dal 25 maggio 2018.
Il GDPR semplifica ed armonizza la regolamentazione in materia di protezione dei dati personali, uno dei diritti fondamentali dell’uomo.
Tale regolamento abroga la Direttiva46/95/CEdel Parlamento e del Consiglio d’Europa, principale strumento giuridico dell’Unione europea in materia di protezione dei dati, ed introduce una serie di innovazioni non solo per il singolo cittadino ma anche per aziende, enti pubblici, liberi professionisti ed associazioni.
Gli elementi innovativi introdotti con il GDPR sono i seguenti:
- concetto di Data Protection by Designe by Default
- principio di Accountability
- designazione del Data ProtectionOfficer (DPO)
Con il concetto di Data Protection by Designe by Default, s’intende la “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.
La protezione dei dati personali, infatti, deve essere valutata già nella fase di pianificazione di nuove procedure con l’attuazione di adeguate misure tecniche e organizzative ed i dati devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario.
L’obbligo di Data Protection by Designe by Default è basato sulla valutazione del rischio.
Pertanto le aziende al momento della progettazione del sistema dovranno valutare il rischio associato alla loro attività.
Il principio dell’accountability rappresenta uno dei pilastri su cui si fonda l’impianto normativo GDPR
Il Principio dell’Accountability o principio di responsabilizzazione, impone ai titolari del trattamento di assicurare sempre il rispetto dei principi applicabili al trattamento dei dati.
Altra sostanziale novità riguarda la designazione del Data Protection Officer (DPO) o Responsabile della protezione dei dati
I compiti del DPO sono definiti dall’art. 39 del Regolamento UE 2016/679 e sono:
- di carattere consultivo in materia di privacy nei confronti del titolare e del responsabile del trattamento
- di vigilanza sull’osservanza del Regolamento
- di raccordo con l’Autorità Garante per la privacy
Non sempre occorre nominare la figura del DPO, in quanto questo non rappresenta il centro del sistema posto in essere dal GDPR.
L’elemento centrale del GDPR resta il cosiddetto “diritto all’oblio
Il diritto all’oblio si configura come il diritto alla cancellazione dei propri dati personali in forma rafforzata.
La sostanziale novità in merito a tale diritto risiede nell’inversione dell’onere della prova di aver rilasciato il consenso al trattamento dei dati, la quale prima era posta a carico dell’interessato mentre oggi spetta al responsabile del trattamento dati.
Che cosa fare in caso di violazione dei dati (Data Breach)?
In caso di violazioni dei dati personali che possano compromettere le libertà e i diritti dei soggetti interessati, il GDPR prevede l’obbligo di notifica entro 72h da parte del titolare del trattamento alle autorità di controllo e la comunicazione al diretto interessato.
L’approccio del regolamento si differenzia nettamente da quello adottato della Direttiva 46/95/CE che, al contrario, non dispone alcun obbligo generalizzato di notifica.
Per prevenire il fenomeno di Data Breach, uno dei primi passi da compiere è la predisposizione di un registro delle attività di trattamento
La redazione del registro è una fase fondamentale perché permette ai titolari di fare il punto sui trattamenti e sui dati trattati, di individuare eventuali trattamenti che comportano rischi per i diritti e le libertà personali, oltre che di verificare costantemente il rispetto della normativa ed avere uno strumento per dimostrare la conformità al Regolamento.
Perché è importante adeguarsi al GDPR?
Dal 25 maggio 2018 le aziende hanno l’obbligo di adeguarsi alla normativa.
L’Autorità Garante per la privacy ha stabilito i criteri con cui verrà condotta l’attività ispettiva da parte del personale preposto al controllo per la violazione della normativa sulla protezione dei dati personali.
La mancata osservanza della normativa comporterà pesanti sanzioni amministrative per le imprese, così come previsto sia dal presente Regolamento che dal D. Lgs 101/2018.
La tua azienda non si è ancora adeguata al GDPR? Cosa aspetti?
Il gruppo Uniscientia è pronto a supportare la tua impresa sia nella fase di adeguamento alla normativa che nella fase di mantenimento, in qualità di DPO.
Inoltre, Uniscientia organizza ed eroga corsi di formazione relativi alla gestione della privacy.
Obiettivo principale dei suddetti corsi è trasferire ai partecipanti le conoscenze e le competenze generali per svolgere i ruoli di DPO, titolare del trattamento e di tutte le figure coinvolte nel trattamento dei dati personali, così come previsto dal Regolamento UE n. 2016/679.
Antonietta Esposito Faraone
