Regolamento Europeo UE 2016/679 o GDPR: tutte le novità

Regolamento europeo privacy 2018 tutte le novità

Il nuovo Regolamento Europeo sulla Privacy (Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) è in vigore in tutti gli stati membri della UE dal 25 maggio 2018.

I paesi europei hanno avuto a disposizione due anni per adeguarsi: i cambiamenti sono molti e tutte le società devono conformarsi per tempo. Alla data prefissata, infatti, tutte le imprese che trattano dati personali e non sono ancora adeguate, sono passibili di provvedimenti del garante e potranno incappare, nei casi più gravi, in sanzioni amministrative pecuniarie (più ingenti rispetto a quelle attualmente previste precedentemente dal Codice della Privacy).

Vediamo allora quali sono le novità e cosa fare; parleremo di:

La nuova normativa europea sulla Privacy

Emanato il 27 aprile 2016, il nuovo Regolamento Europeo è definitivamente in vigore dal 25 maggio 2018 in tutti gli stati membri dell’Unione Europea; la sua stesura ha impegnato la Commissione Europea (e non solo) per ben quattro anni e disciplina la gestione dei dati personali delle persone fisiche, ovvero tutte le informazioni su un individuo che fanno riferimento alla sua vita privata o pubblica/professionale.

L’obiettivo del GDPR è proteggere la privacy di tutti i cittadini dell’UE e punirne le relative violazioni, in un mondo sempre più incentrato sui dati e sulla loro divulgazione. Un momento storico quindi molto diverso da quello in cui è stata stabilita la precedente Direttiva 95/46/EC, di cui vengono comunque ereditati alcuni principi chiave.

Il regolamento si applica a tutte le aziende che trattano i dati di cittadini residenti nell’Unione Europea. In caso di violazione del GDPR sono previste sanzioni molto salate (fino a 20 milioni oppure il 4% del fatturato annuale dell’azienda). Adeguarsi alla nuova normativa diventa, quindi, vitale per un’azienda, in quanto incorrere in una multa di questo tipo potrebbe essere in molti casi deleterio.

I principi del Regolamento UE 2016/679

Il Regolamento Europeo è stato scritto seguendo un approccio di tipo anglosassone ossia non indica puntualmente come e cosa fare, ma parte dall’indicare quelli che sono i principi pilastro della normativa. Per noi italiani è un po’ difficile interpretare questo tipo di approccio perché siamo abituati ad una legislazione più precisa che indica sempre chi deve fare cosa. In questo caso, nell’articolo 5, vengono invece indicati i principi generali che animano l’intera disciplina, principi non del tutto estranei alla normativa precedente, solo che nel nuovo Regolamento il legislatore li ha voluti accorpare in un unico articolo per rimarcarne l’importanza.

Vediamoli nel particolare:

liceità, correttezza e trasparenza
tutti i dati personali dell’interessato devono essere trattati in modo lecito, corretto e trasparente
limitazione della finalità
i dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in coerenza con queste finalità. E’ ammessa poi la possibilità di trattare i dati personali ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, in quanto è compatibile con le finalità iniziali (nel rispetto dell’articolo 89 che riguarda proprio “Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici“)
minimizzazione dei dati
date le finalità per le quali bisogna trattare i dati personali, questi devono essere adeguati, pertinenti e limitati alle finalità stesse. In poche parole si raccolgono e si trattano solo i dati strettamente necessari allo scopo per cui devono essere trattati
esattezza
i dati personali trattati devono sempre essere esatti e, se necessario, aggiornati. Occorre quindi cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati
limitazione della conservazione
i dati personali devono essere conservati in modo tale da permettere l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; possono essere conservati per periodi più lunghi solo se trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (in conformità a quanto detto nell’articolo 89), adottando sempre misure tecniche e organizzative adeguate richieste dal regolamento stesso a tutela dei diritti e delle libertà dell’interessato
integrità e riservatezza
i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali

I principi elencati sono strettamente e coerentemente collegati fra di loro e le aziende dovranno implementare la gestione dei dati personali rispettandoli nella loro interezza, altrimenti incorreranno in sanzioni amministrative particolarmente pesanti.

GDPR e Privacy: cosa fare dal 25 maggio 2018

Per adeguarsi alla nuova normativa europea in tema di privacy, tutte le aziende interessate (non importa la dimensione o la forma giuridica, importa solo se trattano dati personali per qualsiasi finalità) dovranno seguire alcuni step di adattamento.

In particolare si consiglia di cominciare con un’analisi dello status quo ossia su un’analisi della situazione attuale e specifica dell’azienda. Fatto una sorta di “inventario”, si dovrà valutare quanto i requisiti del GDPR siano rispettati dalla società e individuare le aree nelle quali occorrerà intervenire per “sanare” i buchi più gravi. Individuare le figure chiave del processo di gestione dei dati sulla privacy è un ulteriore step che non va assolutamente saltato.

Occorre poi passare ad una definizione e implementazione di un piano di adeguamento complessivo, che comprenda l’elenco di tutte le attività da implementare per colmare i gap evidenziati in fase di analisi; meglio organizzare queste attività in settori e sotto-settori come ad esempio il settore “legale” e il suoi sotto-settori “diritti degli interessati”, “Informativa e consenso”, eccetera.

Per un maggiore dettaglio di tutte le azioni da intraprendere per adeguarsi al GDPR si rimanda all’articolo Regolamento Europeo Privacy 2018: come adeguarsi.

 

Vuoi saperne di più

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!