GDPR: UN APPROFONDIMENTO

Dal 24 maggio 2016 è entrato in vigore il nuovo Regolamento Europeo in materia di protezione dei dati personali che costituisce un salto di qualità nei rapporti con il Cittadino e nello sviluppo di servizi digitali, nel sistema delle responsabilità e nell’implementazione di misure di sicurezza a protezione dei dati personali.

Tale regolamento troverà applicazione negli Stati a partire dal 25 maggio 2018: entro tale data le Imprese e le Pubbliche Amministrazioni dovranno organizzarsi ed adeguarsi alle nuove regole. Con le nuove disposizioni i Cittadini sono al centro del sistema e sono loro riconosciuti i seguenti diritti:

• portabilità dei dati;
• diritto all’oblio, riconosciuto finora solo a livello giurisprudenziale;
• diritto ad essere informati in modo trasparente, leale e dinamico sui trattamenti effettuati sui propri dati e di controllarli;
• il diritto di essere informati sulle violazioni dei propri dati personali (“data breach”, notificazione di una violazione di dati).

Il testo in esame riconosce pertanto un livello elevato e uniforme di tutela dei dati ed è finalizzato a dare un maggiore controllo ai Cittadini sul loro utilizzo. I Cittadini hanno inoltre il diritto di essere avvertiti dalle Pubbliche Amministrazioni (PA) e dalle Imprese delle violazioni dei loro dati personali (data breach notification) entro 72 ore.

Il Regolamento comporta un cambiamento anche culturale: difendere i dati significa difendere le persone, l’identità e la libertà delle stesse. Il testo impone una forte responsabilizzazione, un cambio di passo, un approccio proattivo, la protezione dei dati personali diventa, finalmente, un asset strategico che deve essere valutato prima, già nel momento di progettazione di nuove procedure, prodotti o servizi, (principi data protection “by design” e data protection “by default”) senza derive burocratiche che spesso negli anni passati hanno relegato la protezione dei dati personali al mero adempimento formale di mettere una firma per presa visione dell’informativa o per il consenso al trattamento di dati sanitari.

A seguito delle disposizioni del regolamento europeo, le Pubbliche Amministrazioni e le imprese hanno l’obbligo di effettuare una valutazione preliminare dell’impatto (“privacy impact assessment”), dei trattamenti previsti dal regolamento allorché prevedano in particolare l’uso di nuove tecnologie e, in considerazione della loro natura, oggetto, contesto e delle loro finalità, possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In sintesi, la valutazione di impatto sulla privacy richiede una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati.

Con il GDPR entra nel nostro ordinamento il “principio di accountability” (obbligo di rendicontazione): le Pubbliche Amministrazioni e aziende titolari del trattamento dei dati devono dimostrare di avere adottato misure di sicurezza adeguate ed efficaci a protezione dei dati e di mantenerle costantemente riviste e aggiornate e che le proprie attività e trattamenti sono conformi con i principi e le disposizioni del Regolamento Europeo, compresa l’efficacia delle misure.

Nel prossimo articolo parleremo del DPO, una nuova e fondamentale figura aziendale introdotta dal GDPR. stay tuned!

Non ti sei ancora adeguato al GDPR? Affrettati, il tempo sta per finire: richiedi una consulenza gratuita con i nostri esperti!

 
Facebook
Twitter
LinkedIn

Contattaci

Compila il form e un nostro esperto ti ricontatterà entro 24 ore: non vediamo l’ora di conoscerti!

Contattaci

Compila il form e un nostro esperto ti ricontatterà entro 24 ore: non vediamo l’ora di conoscerti!

Richiedi la tua prova gratuita

Ehi! Stai già andando via?

Iscriviti alla nostra newsletter per restare aggiornato sulle novità dell’universo Criticalcase