Il nuovo regolamento europeo sulla privacy

La nuova normativa dell’Unione Europea in fatto privacy entrerà in vigore nel Maggio 2018. I tempi sono strettissimi e tutte le organizzazioni devono essere pronte, modificando in modo radicale la gestione dei dati che riguardano i loro clienti. Il General Data Protection Regulation (indicato con l’acronimo GDPR) prevede una serie di novità particolarmente importanti, che portano le Pubbliche Amministrazioni, i professionisti e qualsiasi azienda anche ad implementare nuove figure per la gestione dei dati sensibili in loro possesso. Il Garante per la Protezione dei dati personali ha già pubblicato la prima Guida applicativa al Regolamento e nel nostro paese le Pubbliche Amministrazioni si stanno già attivando per apportare le dovute modifiche al loro modo di agire.

Cosa cambia: la raccolta dei dati sensibili

Per poter operare in modo corretto le modifiche necessarie ai metodi di gestione dei dati sensibili è necessario conoscere i punti principali del nuovo Regolamento. Le novità riguardano sia l’effettiva metodica di manipolazione e gestione dei dati, sia i metodi di raccolta. Dal maggio 2018 infatti ogni organizzazione che richiede dei dati sensibili ad un privato cittadino con cui viene in contatto dovrà possedere il consenso all’elaborazione degli stessi; il concetto di silenzio assenso non ha più valore in questo ambito, sarà necessario ottenere un si preciso e netto. In caso di mancanza di tale elemento le autorità che si occupano della regolamentazione possono bloccare l’elaborazione e l’utilizzo dei dati. Le organizzazioni inoltre potranno richiedere al singolo cittadino solo i dati minimi necessari per il loro preciso scopo.
Il singolo utente inoltre può richiedere informazioni su chi sta elaborando i suoi dati, sul modo in cui tale operazione viene svolta e sulle motivazioni dell’elaborazione. Potrà anche richiedere la portabilità dei dati, per comunicarli ad altra organizzazione o per trasferirli definitivamente. Chiunque potrà ricorrere al Diritto all’Oblio, che ora si ampia ad ogni ambito: si potrà pretendere che i propri dati siano cancellati o che non siano in alcun modo utilizzati.

La sicurezza

In particolare il nuovo GDPR pone l’accento sulla sicurezza, inasprendo in modo pesante le sanzioni per le organizzazioni che si trovano a perdere i dati sensibili che possiedono, o a comunicarli a terze parti senza il consenso del singolo proprietario. Se si verifica una violazione della privacy, anche in modo del tutto accidentale, l’organizzazione che ha subito tale violazione (o che l’ha posta in essere) ha l’obbligo di denunciare tali avvenimenti, pena il pagamento di una pena pecuniaria pari a 20 milioni di euro, o al 4% del fatturato globale della società a livello mondiale, scegliendo tra le due cifre la maggiore. Da quanto emerge da indagini specifiche solo un’azienda su due conosce in modo preciso i nuovi obblighi stabiliti dalla legge e un numero veramente esiguo è già pronto per l’applicazione del Regolamento aggiornato.

Nuove figure professionali

Per poter gestire in modo corretto i dati sensibili in proprio possesso molte organizzazioni dovranno individuare al loro interno un Data Protection Officer (indicato con l’acornimo DPO). Il Responsabile si occuperà della gestione dei dati nelle Pubbliche Amministrazioni e in qualsiasi azienda che si occupi di gestione di dati sensibili su larga scala. Tale responsabile opererà nelle organizzazioni europee, ma non solo, in quanto il nuovo Regolamento ha validità per qualsiasi azienda che opera trattando i dati di un cittadino della Comunità Europea.

Prepararsi al 2018

Maggio 2018 è vicino e buona parte delle organizzazioni europee, o che opera in Europa, dovranno effettuare un’analisi dei dati posseduti, ma anche delle valutazioni dell’impatto sulla privacy delle operazioni svolte quotidianamente. Queste valutazioni non sono solo necessarie, ma obbligatorie per legge.