ll Regolamento generale per la protezione dei dati personali n. 2016/679 (GDPR) è la normativa europea in materia di protezione dati per tutti gli Sati dell'Unione. E' stato pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016 ed entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018.
Il nuovo Regolamento, il Consiglio Europeo, oltre ad armonizzare e ad aggiornare le normative privacy in tutta la UE, si pone come obiettivo, quello di ridefinire l’approccio delle Aziende in materia di protezione dati, in virtù dei continui attacchi informatici di cui sono oggetto da alcuni anni le imprese di ogni dimensione e settore, fornendo una guida utile anche in questa direzione.
Il GDPR disciplina solo il trattamento dei dati personali che riguardano una persona fisica, con esclusione delle persone giuridiche.
I principali vantaggi del GDPR sono:
- norme uniche per tutta l’Unione Europea;
- condizione di parità per tutte le imprese dell'Unione Europea;
- norme adatte alla web-economy;
- norme “scalabili” ed “adattabili” ai cambiamenti tecnologici ed ai futuri scenari economici.
Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell'Unione ed è attuato allo stesso modo da tutti, senza margini di adattamento (tranne per le parti per le quali si prevede espressamente delle possibilità di deroga). Questo perché col Trattato di Lisbona la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va garantito allo stesso modo in tutto il territorio dell'UE.
Grazie alla tutela più stringente, il regolamento è funzionale allo sviluppo digitale dell'Unione europea, e tutela anche la libertà di circolazione dei dati personali.
Col Regolamento europeo si passa da una visione proprietaria del dato, in base alla quale non lo si può trattare senza consenso, ad una visione di controllo del dato, che favorisce la libera circolazione dello stesso rafforzando nel contempo i diritti dell'interessato, il quale deve poter sapere se i suoi dati sono usati e come vengono usati per tutelare lui e l'intera collettività dai rischi insiti nel trattamento dei dati.
Il Regolamento sposta il fulcro della normativa dalla tutela dell'interessato alla responsabilità del titolare e dei responsabili del trattamento (principio di accountability cioè responsabilizzazione inteso come dover rendere conto del proprio operato), che si deve concretizzare nell'adozione di comportamenti proattivi a dimostrazione della concreta (e non meramente formale) adozione del regolamento.
L'approccio del GDPR, più centrato sulla protezione dei dati invece che sull'utente medesimo, sotto alcuni aspetti si potrebbe anche considerare un passo indietro rispetto alla precedente normativa. Questo perché è un approccio basato sulla valutazione del rischio (risk based), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Un approccio risk based, infatti, ha l'evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge, è sicuramente più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici.
In sintesi il titolare del trattamento deve non solo conformare il trattamento dei dati da lui operato in base ai principi di cui al GDPR, ma anche prevedere e valutare il rischio tipico (cioè prevedibile) connesso alla sua attività di impresa, e introdurre misure organizzative e di sicurezza per eliminare o ridurre tale rischio.
Le nuove norme prevedono, inoltre:
- per i cittadini un più facile accesso alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi;
- un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online;
- l'istituzionalizzazione del diritto all'oblio (denominato diritto alla cancellazione nel regolamento) come previsto dalla Corte di Giustizia europea, che consentirà di chiedere ed ottenere la rimozione dei dati quando viene meno l'interesse pubblico alla notizia;
- l'obbligo di notifica da parte delle Aziende delle gravi violazioni dei dati dei cittadini;
- le Aziende dovranno rispondere alla sola Autorità di Vigilanza dello Stato nel quale hanno la sede principale (principio dello sportello unico);
- sanzioni amministrative fino al 4% del fatturato globale delle Aziende in caso di violazioni delle norme.