Il 25 Maggio 2018 avrà immediata efficacia e piena applicabilità il Regolamento Europeo 2016/679 del Parlamento Europeo e del Consiglio, il cosiddetto GDPR ( Global Data Protection Regulation), in materia di protezione dei dati personali. La normativa Europea si è resa necessaria per uniformare il trattamento dei dati personali nei diversi Paesi membri, poiché la precedente Direttiva 95/46/CE non è stata efficace nell'impedire la frammentazione di regole riguardanti l'argomento, impedendo di fatto la libera circolazione di dati e di informazioni tra i diversi Paesi membri.
Cerchiamo di analizzare i punti salienti della normativa e le novità da essa introdotte.
Nel Regolamento vengono elencati i principi applicabili al trattamento dei dati personali che siano riconducibili ad una persona fisica identificata o identificabile, in primis il principio di Liceità e il principio di Trasparenza del trattamento: l'interessato deve poter accedere alle informazioni e alle comunicazioni relative al trattamento dei dati personali (in particolar modo alle informazioni riguardanti l'identità del titolare del trattamento e le finalità del trattamento) e deve fornire consenso informato al trattamento dei dati personali. La normativa elenca tutti i diritti spettanti all'interessato, tra cui il diritto di accesso ai dati, il diritto di rettifica e il diritto di cancellazione definito diritto "all'oblio": l'interessato ha diritto di richiedere al titolare del trattamento l'immediata cancellazione dei propri dati personali, salvo nei casi previsti per legge. Altro elemento interessante è il diritto di Portabilità: l'interessato ha diritto a ricevere i dati personali che lo riguardano ed a ottenere la trasmissione diretta di questi dati da un titolare all'altro.
E' stata istituita una nuova figura obbligatoria in tutte le strutture e attività che trattano informazioni e dati personali: il DPO ossia il Data Protection Officer, nominato dal titolare e dal responsabile del trattamento dati. L'articolo 39 del Regolamento disciplina tutti i compiti del DPO, tra cui informare e fornire consulenza al titolare e al responsabile del trattamento agli obblighi derivanti dal Regolamento, sorvegliare l'osservanza del Regolamento, cooperare con l'autorità di Controllo in materia: in sostanza il DPO deve garantire che tutti i dati personali utilizzati all'interno di un'azienda vengano trattati nel rispetto delle Normative Europee e Nazionali.
Al fine di garantire la sicurezza dei dati e limitare il rischio di violazione viene introdotto il concetto di pseudonimizzazione, un processo che permette di conservare i dati in un formato che non identifichi direttamente un individuo specifico senza utilizzare informazioni aggiuntive. Il GDPR, inoltre, istituisce organismi di certificazione e autorità di controllo fissando sanzioni pecuniarie severe in caso di non conformità e detta le linee guida inerenti il comportamento da seguire in caso di violazione dei dati (Data Breach): il titolare del trattamento ha l'obbligo di comunicare la violazione all'autorità garante e all'interessato entro 72 ore dal momento in cui ne è venuto a conoscenza; se questo non fosse possibile dovrà correlare la notifica di violazione con i motivi del ritardo.
In conclusione la corretta applicazione delle regole e dei principi del GDPR richiederà un evidente cambiamento in materia delle procedure da adottare per assicurare la protezione dei dati personali, ponendo alle aziende che non abbiano ancora provveduto ad adeguarsi la sfida di ammodernare i propri processi alle richieste della Normativa in tempi rapidi.