Si avvicina la data del 25 maggio 2018, momento dal quale sarà pienamente applicabile il Regolamento UE 679/16 (o GDPR), fonte europea direttamente applicabile che ha l’obiettivo di uniformare la legislazione in tema di protezione dei dati personali in tutto il territorio dell’Unione Europea.
Questo a differenza di quanto era previsto dalla precedente Direttiva CE 95/46, recepita dai singoli Stati Membri con la propria normativa nazionale (in Italia è attualmente recepita dal D.lgs. n. 196/03, ovvero il cd. Codice Privacy).
Compliance e GDPR: cosa devono fare le organizzazioni
In forza del nuovo Regolamento, le organizzazioni dovranno affrontare la sfida di adeguare i propri processi interni affinché sia assicurata la compliance ai nuovi adempimenti richiesti dalla normativa privacy europea.
Tale necessità non rappresenta solo un mero adempimento burocratico, ma è la dimostrazione al mercato e ai diversi stakeholder, che l’organizzazione dispone di un Modello Organizzativo Privacy idoneo a tutelare la riservatezza dei dati personali oggetto di trattamento nell’ambito dei processi aziendali. E questo è proprio ciò a cui si deve mirare: fare della compliance Privacy una leva di vantaggio competitivo nei confronti dei concorrenti.
Normativa GDPR: ecco le novità
Il Regolamento UE 679/16, pur facendo salve le linee guida introdotte dalla Direttiva CE 95/46 in materia di protezione dei dati personali, introduce importanti novità e regole più chiare in tema di informativa e consenso.
Definisce, inoltre, i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti (diritto all’oblio e diritto alla portabilità del dato), stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali (il cd. data breach), introduce il concetto di “accountability” e la nuova figura del Data Protection Officer (o DPO).
Entrando più nel dettaglio delle novità introdotte dal GDPR, è importante evidenziare che:
- l’informativa è improntata sempre più sul concetto di trasparenza del trattamento dei dati personali e dell’esercizio dei diritti in carico agli interessati, in particolare nel caso in cui i dati siano oggetto di trasmissione in Paesi extraeuropei e nel caso di esercizio del diritto di revocare il consenso a determinati trattamenti;
- il consenso deve essere preventivo e inequivocabile, anche quando espresso attraverso mezzi informatici e nel caso di trattamento di dati sensibili, deve essere anche esplicitamente prestato; pertanto non è ammesso il consenso tacito;
- con riguardo al cd. data breach, le organizzazioni devono comunicare in modo chiaro, semplice e immediato il verificarsi di violazioni dei dati personali all’Autorità Garante della Privacy e, nel caso in cui la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, anche agli interessati coinvolti;
- il concetto di accountability si riferisce alla necessità di una responsabilizzazione delle organizzazioni nell’adozione di approcci e politiche che tengano conto costantemente del rischio che i trattamenti di dati personali possono comportare per i diritti e le libertà degli interessati, attraverso il rispetto dei principi di “privacy by design” e “privacy by default”, al fine di garantire la protezione dei dati sin dalla fase di ideazione e progettazione di un trattamento, e adottare comportamenti che consentano di prevenire possibili problematiche e minimizzare l’utilizzo dei dati personali al fine di raggiungere le finalità prescritte;
- il Data Protection Officer (o DPO) è la nuova figura di “Responsabile della protezione dei dati”, incaricato di assicurare una gestione corretta dei dati personali nelle organizzazioni.
Vuoi rendere la tua azienda più compliant? Hai bisogno di un DPO? Contattaci oggi stesso.