GDPR PRIVACY: cos’è e come si gestisce

Regolamento europeo privacy 2018 tutte le novità

Emanato il 27 aprile 2016, il Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) è definitivamente in vigore dal 25 maggio 2018 in tutti gli stati membri dell’Unione Europea e regolerà la gestione dei dati personali (privacy) senza necessità di leggi nazionali di recepimento.

In un’era come la nostra, dove la tecnologia ormai è presente a tutti i livelli, la raccolta dei dati personali diventa una vera e propria “materia prima” della nostra economia ed è con questa consapevolezza che la Commissione Europea ha inserito la materia della privacy nella più ampia materia dei cosiddetti open data. Il legislatore europeo ha quindi preso coscienza di quanto i dati personali e la loro elaborazione stiano diventando la base per lo sviluppo di nuovi servizi e prodotti innovativi e soltanto regolando uniformemente le condizione di raccolta, gestione e uso si potrà perseguire l’obiettivo di un’economia basata sull’uso esteso dei dati personali.

Con il nuovo regolamento europeo si fa un vero e proprio salto di qualità passando da un approccio meramente giuridico ad un approccio strategico di gestione aziendale. Cerchiamo di dare una panoramica del regolamento, poter mettere in atto le giuste misure di adeguamento alla nuova privacy. In particolare parleremo di:

GDPR acronimo di “General Data Protection Regulation”

Il GDPR è l’acronimo di General Data Protection Regulation (in italiano Regolamento Generale sulla Protezione dei Dati).
È la sigla che ormai abitualmente designa il Regolamento UE 2016/679 che stabilisce le regole valide e uguali in materia di privacy nei 28 paesi stati membri.

Con questa nuova normativa il legislatore europeo ha voluto rendere più forte e più omogenea la protezione dei dati personali sia dei cittadini europei sia di coloro che risiedono nell’Unione Europea, all’interno o all’esterno dei confini dell’Unione europea (UE). E’ estremamente importante per le aziende, i professionisti e le pubbliche amministrazioni capire cosa cambia e come adeguarsi nel minor tempo possibile.

GDPR: che cos’è?

Il GDPR è un nuovo insieme di regole per la tutela della privacy a livello europeo, nato per effetto della globalizzazione e della diffusione delle tecnologie digitali degli ultimi decenni, che hanno portato ad un continuo aumento dello scambio quotidiano di dati in rete.

Nell’evoluzione storica degli eventi relativi alla privacy, il GDPR rappresenta un evento che segna il prima e il dopo o meglio l’inizio di una nuova epoca in tema di diritto ad esercitare un controllo sulle informazioni che si rilasciano e che riguardano la persona fisica.

Prima dell’emanazione del Regolamento UE 2016/679, la disciplina della gestione dei dati personali è stata regolamentata dalla Direttiva 95/46/CE (recepita da ogni stato membro) il cui obiettivo finale era la protezione della persona, intesa come persona fisica, titolare di diritti, depositario di interessi legittimi e di aspettative che l’ordinamento riconosce e tutela. Coerentemente con questo approccio, l’interessato, cioè il soggetto cui si riferiscono i dati personali, è sempre stato considerato il vero protagonista della normativa. E’ per questo che negli anni Novanta vengono introdotti i principi del consenso informato, del diretto potere di controllo degli interessati, del diritto a opporsi al trattamento dei dati. In pratica l’obiettivo iniziale è stato proteggere i dati per proteggere la persona cui i dati si riferiscono.

Con lo sviluppo della rete e la diffusione di internet, i dati hanno acquisito piano piano un valore sempre più strategico, a prescindere (quasi) dalle persone cui si riferiscono. I dati sono diventati una vera e propria “materia prima” della new economy, che ha le sue basi proprio sulle informazioni e la loro elaborazione.

E’ in questo contesto che il legislatore europeo ha deciso quindi di cambiare approccio e prospettiva in tema di privacy e, prendendo coscienza di questa evoluzione, la Commissione Europea ha dato estrema importanza alla tematica della protezione dei dati personali, inserendola nel più ampio contesto dei cosiddetti open data. In pratica si è capito che i dati possono diventare la base per lo sviluppo di nuovi prodotti e servizi e, soltanto tramite una gestione uniforme degli stessi, abbattendo barriere giuridiche e differenze normative tra gli Stati europei, si potrà spianare la strada per lo sviluppo di una nuova economia basata sull’uso esteso dei dati.

In questo senso il Regolamento Europeo 2016/679 diventa uno strumento di competizione economica rilevante che permette ai soggetti operanti nel Mercato Europeo di disporre di un set di regole condivise cui anche chi è posto fuori dall’Unione Europea sarà obbligato ad attenersi.

 

Il GDPR cambia quindi l’approccio alla gestione dei dati personali: da una visione puramente giuridica si è passati ad una prospettiva strategica per una nuova economia dei dati. Possiamo quindi affermare che il GDPR nasce per essere Statuto della Data Economy e definisce le regole per usare i dati legalmente e dare avvio a innovazione di prodotti e servizi, creando una prospettiva di nuovi fatturati e maggiore lavoro.

 

Normativa GDPR: cosa cambia?

La proposta di adottare un regolamento unico per tutta la comunità europea in materia di privacy fu introdotta già nel 2012 e, dopo un laborioso impegno, che ha visto coinvolti il Parlamento, la Commissione e il Consiglio Europero, si è giunti, il 4 maggio 2016, alla pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea della versione definitiva del testo del Regolamento UE 2016/679relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)“.

Ma cosa cambia sostanzialmente tra la normativa vigente, il Codice della Privacy Dlgs 196/2003, e il nuovo Regolamento Europeo? Cambiano alcune prospettive di base:

  • » Si sposta il focus: mentre la normativa in vigore in tema di privacy, si basa sulla tutela dei diritti dell’interessato, il nuovo Regolamento Europeo si focalizza sui doveri e sulla responsabilizzazione (accountability) del titolare del trattamento dei dati personali.
  • » Dalle indicazioni precise alle linee guida: il nostro Codice della Privacy indica ai titolari del trattamento una serie di misure minime di sicurezza da adottare, a fronte di alcune sanzioni amministrative; la nuova normativa non indica delle misure di sicurezza tecniche e organizzative, ma delega al titolare del trattamento la scelta e la responsabilità delle misure adeguate da adottare nel rispetto della norma. Non più una check-list di adempimenti minimi, ma la libertà di tradurre in pratica i principi con diverse azioni concrete.
  • » Ci si salva solo con la “comprova”: nella nuova normativa europea il titolare del trattamento ha un ruolo più proattivo e soprattutto obblighi più forti, per i quali non deve solo dimostrare di aver osservato la legge, ma deve fornire tutte le prove che dimostrino che ha adottato tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva dei trattamenti, anche sotto il profilo della sicurezza.

Scendendo più nel dettaglio, sono tante le innovazioni che il GDPR ha introdotto.

Già con la proposta del 2012 furono introdotti i punti cardine del regolamento, come ad esempio: il diritto all’oblio, la portabilità dei dati, le notifiche di violazione agli utenti e alle autorità nazionali, la modalità di accesso ai propri dati personali semplificate e la possibilità per le imprese di rivolgersi a un’unica autorità di vigilanza.

Una delle principali novità riguarda l’applicabilità territoriale: la normativa si applica a tutti coloro che trattano i dati personali di cittadini europei, sia che la loro sede sia in UE, sia che abbiano sede fuori dalla Comunità Europea. Questo significa che grandi multinazionali, come ad esempio Google, Facebook e Twitter, dovranno adeguarsi al Regolamento Europeo nel momento in cui gestiranno dati personali di cittadini europei, pur avendo sede in America.

Per la prima volta si sente parlare di “Dato Generico” e “Dato Biometrico”. E viene disciplinato il trattamento dei dati dei minori. E’ stata poi istituita la contitolarità nel trattamento dei dati e figure come quella del Responsabile per la protezione dei dati.

Non solo. Con il testo definitivo il legislatore europeo ha voluto vedere la materia in termini di globalizzazione, regolamentando la divulgazione dei dati personali anche al di fuori dell’Unione Europea.

E’ per questo che questi dati avranno maggiore protezione grazie ad alcuni meccanismi di “profiling” e viene sancito l’obbligo di usare un linguaggio chiaro e preciso nelle regole relative alla privacy. Per chi fornisce servizi in rete sarà necessario avere un consenso esplicito prima di poter usufruire dei dati personali rilasciati dai clienti.

GDPR pdf

Per chi volesse consultare direttamente la legge, di seguito i pdf scaricabili nella versione italiana e nella versione inglese:
GDPR in italiano
GDPR in inglese

 

Vuoi saperne di più

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!