L’utilizzo sempre più diffuso di Internet, il continuo sviluppo delle sue applicazioni, la globalizzazione dei dati, hanno portato sempre più ad uno scambio frequente dei dati da uno stato europeo all’altro, rendendo necessaria una normativa condivisa che dettasse le regole uguali per tutti. Il regolamento europeo risponde a questa esigenza focalizzando l’attenzione su adeguamento, rafforzamento e unificazione delle norme di tutela dei dati delle persone fisiche entro i confini UE ed individuando regole che tengano conto dell’evoluzione tecnologica e delle sfide della globalizzazione.
Uno degli scopi fondamentali del Regolamento è di creare un nuovo clima di fiducia per i cittadini europei che sia volto a consentire lo sviluppo dell’economia digitale in tutto il mercato interno.
Di seguito riepiloghiamo brevemente i principali concetti introdotti dal regolamento:
- Accountability: in base al principio di responsabilizzazione i Titolari devono introdurre in azienda comportamenti proattivi per dimostrare la concreta adozione di misure tecniche ed organizzative, messe in atto dopo un’attenta analisi dei rischi per il trattamento dei dati personali. Le scelte del Titolare devono essere documentate e rese disponibii in caso di controllo da parte delle autorità;
- Privacy by design: E’ il principio d’incorporare la privacy fin dalla progettazione del processo aziendale e degli applicativi informatici di supporto. Qualsiasi progetto che sia strutturale o concettuale, va realizzato considerando fin dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali;
- Privacy by default: E’ il principio che le impostazioni predefinite devono essere quelle che garantiscono il maggior rispetto della privacy, affinché i dati personali siano sempre protetti e non accessibili a chi non è autorizzato;
- Data Breach: Le aziende saranno obbligate a segnalare alle Autorità di controllo la violazione sui dati personali memorizzati all’interno del proprio sistema informativo (es. in caso di perdita o furto di dati) ed in alcuni casi anche all’interessato.
- Diritto all’oblio: è il diritto dell’interessato a chiedere di essere “dimenticato” da internet.
- Diritto alla portabilità del dato. È il diritto dell’interessato di trasferire i propri dati da un sistema di trattamento elettronico (es. Facebook) ad un altro, oltre al diritto di ottenere i propri dati in un formato elettronico che consenta di farne ulteriore uso;
- Responsabile per la protezione dei dati (RPD o DPO): è un nuova figura che ha il compito di controllare l’attività di trattamento dei dati all’interno di un’azienda o di un ufficio pubblico. Il RPD deve supervisionare sulla corretta applicazione della normativa, sia a livello tecnico ma anche a livello organizzativo. Si tratta di una figura già prevista da alcune legislazioni europee e che il regolamento estende a tutti i Paesi, imponendola alle pubbliche amministrazioni ed a quelle imprese in cui il trattamento delle informazioni personali presenta profili di particolare rischio.
- Informativa: nel regolamento è previsto un potenziamento dell’informativa privacy per il trattamento dei dati personali, con la possibilità di rendere la procedura più familiare attraverso il ricorso a disegni, icone o altre forme grafiche.
- Registro delle attività di trattamento: I registri delle attività di trattamento devono essere tenuti in forma scritta (anche elettronica) dal titolare e, ove sia presente, dal responsabile, al fine di dimostrare la conformità dei trattamenti effettuati al Regolamento. Tale obbligo di redazione sussiste per le imprese, aziende od organizzazioni con più di 250 dipendenti o che effettuino un trattamento che presenta rischi per diritti e libertà dell’interessato, che non sia occasionale e includa categorie particolari di dati sensibili (es. dati sindacali o inerenti lo stato di salute) o relativi a condanne penali.
- Valutazione d’impatto: Il Titolare deve effettuare la valutazione d’impatto, avvalendosi della collaborazione del RPD, quando il trattamento che intende effettuare prevede (in particolare) l’uso di nuove tecnologie o presenta un rischio elevato (per natura, oggetto, contesto e finalità) per i diritti e le libertà delle persone fisiche.
Sanzioni: le sanzioni verranno rimodulate e, per i casi più gravi, si potrà arrivare a sanzioni pari al 4% del fatturato annuo dell’Azienda.