Dal 25/05/2018 è in vigore in tutti gli stati membri dell’Unione Europea, il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, il quale abrogherà la Direttiva 95/46/CE ormai superata, modificando anche il D. Lgs. n.196/2003, c.d. Codice della privacy.
Il GDPR nasce da precise esigenze e con un preciso obbiettivo: armonizzazione e dare maggiore semplicità alle norme riguardanti il trasferimento di dati personali nell'UE e dall’UE verso altre parti del mondo.
In sintesi, i punti principali su cui verte il GDPR sono:
Col GDPR vengono istituite inoltre le figura del DPO (Data Protection Officer), il Responsabile trattamento Dati, il Registro dei trattamenti, il principio di Privacy by design e Privacy by default, le nuove procedure che il titolare del trattamento deve rispettare, tra cui la valutazione di impatto sulla protezione dei dati (DPIA), la data breach notification e l’adesione a meccanismi di certificazione della conformità delle misure adottate.
In particolare, il GDPR accentua la responsabilità del titolare e del responsabile attraverso il principio di accountability, permeato di obblighi relativi all’adozione di adeguate misure di sicurezza - tra cui la pseudonimizzazione e la cifratura dei dati non solo durante o dopo il trattamento, ma anche in una fase pregressa.
Tali misure devono essere poi costantemente monitorate e proporzionate ai rischi, connesse ad un’analisi e ad una capillare valutazione del rischio ex ante derivante dalle operazioni di trattamento.
Oltre a garantire l’efficacia delle misure adottate, il titolare del trattamento deve dimostrare, su richiesta, di aver intrapreso le predette azioni, ovvero l’adozione delle succitate misure di sicurezza e la valutazione preventiva del rischio.
Le norme si applicano a tutte le aziende, imprese, organizzazioni, sia tradizionali che Digitali, che trattano dati sensibili, anche se situate fuori dall’Unione Europea, ma che offrono servizi o prodotti all’interno del mercato Ue.
Tutte le aziende, Imprese ed enti, ovunque stabilite, dovranno quindi rispettare la nuova normativa e avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.