Il 25 maggio 2018 sarà applicabile a tutti i paesi dell’Unione Europea il nuovo Regolamento Europeo per la Protezione dei Dati (n. 2016/679), ossia il GDPR. Alcuni degli adempimenti previsti dal GDPR sono di facile attuazione, altri sono nuovi e studiati nell’ottica della tutela della privacy ai tempi dei social media e del social network. Hanno dunque a che vedere con la profilazione automatizzata, con le reti e con l’archiviazione dei dati in “cloud”.
La principale novità prevista dal Regolamento è insita nella definizione stessa di “dato personale”, che è definito come “qualsiasi informazione riguardante una persona fisica identificata o anche solo identificabile”. Per identificabile si intende che “la persona può essere identificata direttamente o indirettamente con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Più in generale, il GDPR introduce regole più chiare su informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti. Inoltre stabilisce criteri rigorosi per il trasferimento dei diritti al di fuori della Ue e fissa norme rigorose per i casi di violazione dei dati (cosiddetto “data breach”).
Il Regolamento si articola in 99 articoli che prevedono adempimenti di varie misure. Da quelli più “tradizionali” (e di natura burocratica), come la revisione dell’informativa e dei moduli di raccolta del consenso, fino a quelli più innovativi, come le novità relative alla gestione di un possibile “data breach”, a una migrazione a un nuovo tipo di “cultura della sicurezza” e alla individuazione della figura del Data Protection Officer, che in molte realtà dovrà essere un “presidio” ai fini di una corretta attuazione dei principi previsti dal GDPR.
Gli adempimenti previsti dal Regolamento devono inoltre essere correlati alla complessità aziendale e organizzativa presa in considerazione e ai rischi effettivi che i dati raccolti e trattati pongono con riferimento ai diritti dell’individuo. Si tratta, qui, di una novità rilevante: le regole del GDPR dovranno essere infatti adattate a ogni singola realtà (come le sanzioni applicabili in caso di inosservanze e violazioni), anche valutando lo stato dell’arte e i costi per ogni singolo settore. Ciò porterà a creare un quadro di sicurezza realmente adatto alla realtà presa in considerazione.
E’ chiaro che, a fronte della vastità e della complessità della materia, sarà di fondamentale importanza, per le aziende e per gli studi professionali, avvalersi di professionisti nel campo della sicurezza, al fine di adempiere correttamente alle previsioni del Regolamento Europeo che entrerà in vigore dal 25 maggio.