Il 25 maggio 2018 sarà operativo il nuovo Regolamento Generale per la protezione dei dati (GDPR – General Data Protection Regulation), che verrà applicato in tutti i 28 paesi membri dell’Unione europea.
IL GDPR, adottato dal Parlamento Europeo nell’aprile 2016 dopo quattro anni di discussioni, armonizzerà le normative nazionali in materia di trattamento dei dati e avrà un impatto sulle organizzazioni, pubbliche e private, che abbiano sede nell’Unione Europea o elaborino dati di cittadini di uno Stato membro. Le aziende, sempre più indirizzate verso un modello d’innovazione legato a big data e analytics, dovranno quindi integrare le direttive del GDPR nelle proprie strategie.Le principali novità del Regolamento riguardano:
- l’estensione del perimetro del dato;
- l’obbligatorietà dell’introduzione di valutazioni di impatto del rischio sulla privacy;
- la previsione della figura del DPO (Data Protection Officer);
- l’obbligo di notifica e l’introduzione di sanzioni, in caso di violazioni dei dati.
Il concetto stesso di dato è stato ripensato con l’obiettivo di ampliarne il perimetro e includere altre categorie di informazioni. I dati genetici, biometrici e di salute sono ora esplicitamente indicati, al pari di quelli economici, sociali e culturali, tra gli elementi che definiscono l’individuo in quanto tale.
Per le aziende, che elaborano dati ad alta sensibilità o utilizzano nuove tecnologie o dati considerati ad alto rischio per i diritti e la libertà della persona, diventa obbligatoria l’introduzione di Formal Data Privacy Impact Assessment (DPIA). I DPIA, cioè valutazioni di impatto del rischio sulla privacy, sono ad esempio previsti per le attività di monitoraggio sistematico di aree pubbliche (CCTV).
Il GDPR affida inoltre la responsabilità civile del trattamento dei dati al DPO (Data Protection Officer), e ne impone la nomina per le aziende che hanno come core business l’elaborazione dei dati. In un’ottica di responsabilità collettiva e condivisa, tuttavia, il Regolamento potrà essere implementato in modo organico in ambito aziendale solo se il DPO collaborerà con Chief Data Officer, Chief Information Officer, Chief Information Security Officer, e il management.
Le aziende che dovessero subire data breach, dovranno notificare la violazione dei dati all’autorità garante della privacy entro 72 ore, salvo dimostrabili condizioni eccezionali. Il “data controller”, ossia il Titolare del trattamento, è la figura aziendale incaricata della notifica, che sarà obbligatoria ad esclusione di casi nei quali sia improbabile il rischio per i diritti e le libertà degli individui coinvolti. Entro due anni dalla ratifica del GDPR, entrerà in vigore un sistema di sanzioni che prevedrà per le aziende colpite da data breach, multe fino a 20 milioni di euro o al 4% del fatturato globale.
Altri punti del Regolamento comunitario riguardano la semplificazione della relazione con il Garante della Privacy - per le aziende con sedi in più paesi dell’UE - il superamento del silenzio assenso, a favore di un consenso espresso in modo chiaro, e la richiesta del consenso dei genitori per il trattamento dei dati personali dei bambini sotto i 16 anni.
Il nuovo Regolamento Generale per la protezione dei dati è, secondo l’Unione Europa, una grande opportunità per aumentare la fiducia delle persone nel trattamento dei dati e dare slancio all’economia digitale, all’utilizzo dei big data e all’innovazione; si stima che il beneficio complessivo che porterà il GDPR a livello comunitario, sarà di circa 2.3 miliardi di euro.