il nuovo Regolamento Europeo sulla Privacy, che è stato adottato il 27 aprile 2016 e il 25 maggio 2018 sostituirà tutta la normativa nazionale in tema di Riservatezza, avrà importanti impatti sulla vita delle imprese e dei professionisti, quali titolari del trattamento di dati, sia dal punto di vista tecnologico, ma soprattutto organizzativo.
Il nuovo Regolamento Privacy rappresenterà una vera rivoluzione: da una dimensione nazionale si passerà ad una dimensione europea condivisa, cambieranno il linguaggio giuridico, le interpretazioni e le fonti di riferimento.
Con il nuovo GDPR (General Data Protection Regulation – Regolamento UE 2016/679), il legislatore europeo intende rafforzare la tutela dei dati personali dei cittadini dell’Unione di fronte ai nuovi rischi di un mondo in forte evoluzione digitale.
La diffusione degli ambienti social, infatti , dell’Internet of Things, dei Big Data e dei trattamenti automatizzati con finalità di profilazione degli utenti, rappresenta una delle tante nuove sfide che la data protection si trova a dover fronteggiare.
Obiettivo è quello di tradurre gli adempimenti in materia di trattamento dei dati personali in meccanismi idonei ad assicurare la protezione EFFETTIVA degli utenti.
La ratio di tutela della normativa è orientata a privilegiare adempimenti di tutela sostanziale: rientrano in questo concetto il principio della responsabilizzazione in linea con la valorizzazione del legittimo interesse del titolare quale requisito sufficiente per procedere al trattamento, la valutazione PREVENTIVA dei rischi (su cui costruire un sistema di idonee figure di sicurezza) e la eventuale verifica delle prescrizioni da adottare presso le autorità di controllo.
Tra i delicati argomenti trattati nella normativa vi sono la portabilità dei dati e il diritto all’oblio, nonché l’obbligo di fornire un’informazione trasparente, leale e dinamica sul trattamento e la protezione dei dati personali. Chi opera nel mercato europeo dovrà infatti garantire tempestivi avvisi all’utenza anche in caso di violazioni (“Data breach”).
Il nuovo progetto privacy crea, poi, la funzione di Responsabile della protezione dei dati, (Data Protection Officer), sulla quale si ripongono molte aspettative: è un soggetto da nominare obbligatoriamente nelle Pubbliche amministrazioni e nelle imprese, se impegnati nel trattamento dei dati delle persone su larga scala, le cui attribuzioni possono variare da quelle di una funzione audit interno a quelle di una funzione gestionale apicale. La nuova figura dovrà essere individuata sulla base di comprovate competenze e conoscenze specialistiche nell’ambito della data protection e della normativa tecnica e cogente di riferimento.
Le aziende e la pubblica amministrazione, per allinearsi alle nuove direttive, dovranno da subito attivarsi per costruire un vero e proprio processo strutturato di trattamento dei dati e tutela della privacy, che prevede nuovi ruoli, responsabili e responsabilità.
