Il 26 maggio dello 2016, il Parlamento Europeo, ha emanato un nuovo regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. A far data dal maggio 2018, il Regolamento 679/2016 (GDPR) sarà applicato in tutti gli stati membri.
Il tema della protezione dei dati personali è oggetto dell’attenzione del legislatore da circa 20 anni, più o meno da quando Internet ha rivoluzionato il modo di trasmettere le informazioni. In Italia, la prima normativa, comunemente nota come “Legge sulla Privacy” risale al 1996. All’epoca fu una vera rivoluzione: prima di allora nessuna organizzazione pubblica o privata era tenuta a garantire che il “trattamento dei dati personali” seguisse regole ben definite, la cui violazione implicava importanti responsabilità.
Nel 2003 entrò in vigore il D. Lgs 196/03, con l’obiettivo di entrare nel merito di alcune specificità legate alla norma, senza però tenere conto dell’evoluzione tecnologica in atto e lasciando quindi ancora molti spazi di indeterminatezza.
Come l’Italia, anche gli altri Paesi europei hanno promulgato negli anni leggi sul tema della protezione dei dati personali, producendo così, a livello Europeo, un quadro normativo disomogeneo e frammentato. Nelle considerazioni iniziali del Regolamento 679/2016 leggiamo infatti “La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione”.
Obiettivo del GDPR è quindi creare un impostazione sistemica, in cui il tema della sicurezza passi da una logica di «minimo» a una logica di «adeguato» in base ai rischi corsi.
La prima grande novità rispetto alle normative vigenti, risiede proprio nella VALUTAZIONE DEL RISCHIO: in pratica viene chiesto ad ogni azienda o pubblica amministrazione, di fare un’analisi sulla probabilità e sulla gravità del rischio.
La seconda novità è l’obbligo di porre in essere un piano, che preveda MISURE TECNICHE ED ORGANIZZATIVE ADEGUATE a garantire la massima tutela delle persone, i cui dati sono oggetto del trattamento.
Un altro cambiamento importante introdotto dal nuovo regolamento è relativo alla ENTITÀ DELLE SANZIONI PREVISTE. Tenendo conto che “La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale”, il mancato rispetto della normativa, viene visto come una lesione voluta di tale diritto. Secondo l’art 83 del Regolamento sono previste “sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.
È quindi importante, che ogni azienda utilizzi il 2017, per comprendere meglio le implicazioni della normativa e definire un piano d’azione per adeguarsi ad essa.
Corsi di Privacy
Il Gruppo RTS propone una serie di corsi sul tema delle normative in materia di gestione e protezione dei dati personali, con esperti in grado di aiutare le aziende a comprendere le normative in vigore e a valutare l’impatto delle stesse nel flusso di informazioni che caratterizzano i processo aziendali