25 maggio 2018 : il giorno del GDPR
Il 25 maggio 2018 è una data storica per la protezione dei dati personali: il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) è entrato direttamente in vigore in tutti gli Stati dell’eurozona, mandando in soffitta il vecchio Codice Privacy (anche se alcune norme sopravviveranno attraverso il provvedimento di coordinamento).
In questi mesi si è assistito ad un diffusione di vero e proprio panico, in quanto in tanti hanno enfatizzato del GDPR solo gli aspetti sanzionatori.
In realtà con il Regolamento molti aspetti di carattere normativo si semplificano, e la gestione della Privacy assume caratteristiche più moderne, coerenti con lo sviluppo delle tecnologie, e vien richiesto un approccio meno burocratico e più proattivo.
Il regolamento poggia in particolare le sue basi su alcuni aspetti e principi chiave ed in particolare:
1. Accountability e adeguatezza ossia viene richiesto al Titolare del trattamento, di attivarsi proattivamente (e non con logiche burocratiche) mediante misure organizzative, tecniche e procedurali adeguate al rischio, per una protezione effettiva dei dati.
2. Privacy by design e Privacy by default ovvero ogni soluzione tecnica, ogni prodotto che comportino nuovi trattamenti, devono essere progettati pensando alla minimizzazione dei rischi di privacy mediante opportune misure di sicurezza.
Vanno inoltre ricordati gli elementi di novità del Regolamento:
1. L’obbligo di nominare un Responsabile della Protezione dei dati (DPO), limitatamente però ai casi previsti dall’art.37 del Regolamento.
2. L’obbligo di istituire una registro dei trattamenti che non si applica a ad aziende con meno di 250 dipendenti, salvo che non presentino rischi per il trattamento dei dati personali o che trattino dati “particolari” (sensibili – ovvero salute, abitudini sessuali, etc…, dati penali, dati biometrici e dati genetici)
3. L’obbligo della valutazione di impatto per i nuovi trattamenti che possono comportare un rischio per la tutela dei dati.
4. Il principio dell’interesse legittimo del titolare del trattamento in relazione alla sua attività di business.
Alcuni elementi di semplificazione:
1. L’informativa che deve essere semplice chiara e facilmente comprensibile
2. Il consenso previsto espressamente per i soli dati particolari, salvo le esclusioni nei casi espressamente contemplati dal Regolamento.