GDPR – General Data Protection Regulation – la nuova norma  europea di regolamentazione e protezione dei dati personali dei cittadini dell’UE

È da tempo che si fa un gran parlare del GDPR – General Data Protection Regulation – la nuova norma  europea di regolamentazione e protezione dei dati personali dei cittadini dell’UE, entrato in vigore lo scorso 25 maggio.

Il GDPR è nato dalla necessità di armonizzare in qualche misura l’articolato quadro di misure vigenti nei 28 paesi dell’Unione Europea riguardanti la privacy dei cittadini, ed è applicabile – oltre che a tutte le aziende ed ai professionisti europei – anche alle aziende extra-Ue, laddove esse trattino dati sensibili dei residenti negli stati membri della UE e propongano prodotti o servizi all’interno del mercato unico europeo.

Non va dimenticato, però, che la portata delle misure introdotte dal nuovo regolamento è, in parte, temperata in qualche misura dal fatto che – in sede di legiferazione dei singoli stati allo scopo di accogliere le novità introdotte dalla normativa europea – questi ultimi potranno, sia pure nel rispetto del quadro generale, graduare sensibilmente l’applicazione delle singole parti del GDPR.

Ma vediamo in sintesi quali sono le novità introdotte sin d’ora dal regolamento sulla protezione dei dati personali rispetto alla previgente normativa italiana sulla privacy, la legge 196 del 2003, e quelle che saranno introdotte nei prossimi mesi. Il Governo, infatti, ha tempo ancora fino al 22 agosto di quest’anno per emanare il decreto legislativo di adeguamento della normativa italiana al GDPR, per quanto riguarda le materie di competenza nazionale, e cioè in primo luogo l’applicazione di sanzioni penali in caso di trattamento illecito dei dati e la pervasività del ruolo del Garante sulla Privacy.

Il GDPR si applica esclusivamente al trattamento dei dati delle persone fisiche e non delle aziende, e gli scopi principali della nuova normativa sono essenzialmente quelli di responsabilizzare in modo forte il titolare del trattamento dei dati (principio della cosiddetta accountability), di progettare sistemi di trattamento dei dati che siano in grado sin dal principio di garantire la piena protezione degli stessi, di introdurre regole più chiare in materia di informativa agli interessati anche allo scopo di favorire l’esercizio del diritto a conoscere quali dati personali siano conservati e presso chi. Ancora, i principi che vengono tutelati sono quello di garantire che il consenso al trattamento dei dati sia sempre consapevole, preventivo ed inequivocabile (è esclusa, quindi, qualsiasi possibilità di consenso tacito) e quello di assicurare ai cittadini europei la possibilità di revocare in qualsiasi momento il consenso al trattamento di alcuni dati personali.

I principi cardine previsti dal GDPR per garantire che tutto questo accada sono due: la cosiddetta privacy by default, e cioè il fatto che ogni organizzazione aziendale che operi nell’Unione Europea dovrà avere quale principio cardine dell’organizzazione aziendale quello di tutelare i dati personali di cui sia in possesso; altrettanto importante il concetto di privacy by design, ovvero la necessità di definire le modalità di protezione dei dati sin dalla progettazione dei nuovi processi aziendali.

Altro elemento importante è l’estensione del diritto all’oblio, ossia di quel principio per cui i cittadini hanno diritto di ottenere la cancellazione dei propri dati personali dalle notizie (e anche dai motori di ricerca) non appena la loro conoscibilità non sia più di pubblico rilievo.

Il GDPR introduce, infine, un altro importantissimo principio generale: la scadenza dei dati. In virtù di tale principio – finora non previsto nell’ordinamento sulla privacy se non con riguardo in alcuni casi a materie particolarmente specifiche e delicate – le aziende che trattano dati non potranno più conservarli a tempo indeterminato. Esse, anzi, dovranno sin dall’acquisizione degli stessi da parte dei clienti o degli utenti specificare per quanto tempo i dati acquisiti saranno conservati nei propri archivi. Trascorso quel tempo, la conservazione e l’utilizzo di quei dati sarà illegittimo.

Il GDPR, in sostanza, sta dando vita ad un modo nuovo – molto spesso molto diverso dalle norme vigenti fino ad ora nei diversi paesi europei – di affrontare la delicata problematica del trattamento dei dati personali.

Non poche – com’è normale per un processo così articolato, complesso ed innovativo – le difficoltà applicative, i dubbi interpretativi, la lentezza delle aziende – soprattutto di quelle medio-piccole – ad adeguarsi al nuovo quadro normativo.

Ma è una innovazione importante, ed è anche una risposta forte e determinata alla sempre più pervasiva volontà dei grandi player economici internazionali di accumulare ed utilizzare quanti più dati possibile su coloro che utilizzano i loro servizi, ormai indispensabili in una società profondamente cambiata e permeata di tecnologia.

Su questo importante argomento e sulla digitalizzazione delle aziende il Centro Studi Super Sud si è fatto promotore – insieme all’Ordine dei Commercialisti e degli Esperti Contabili di Salerno e con al proprio fianco il gruppo Stratego in qualità di media partner – di un interessante convegno di approfondimento che si svolgerà il prossimo 10 luglio a partire dalle 15.30 presso il Polo Nautico di Salerno.

http://www.supersud.it/convegno-protezione-dei-dati-gdpr-e-digitalizzazione-aziendale/