A partire dal 25 maggio 2018, il vecchio Codice Privacy come lo conosciamo sarà sostituito dal GDPR europeo e dalle relative nuove norme di coordinamento italiane, che il Consiglio dei Ministri ha presentato nella seduta del 21 marzo. Il Governo ha infatti approvato un decreto legislativo di adeguamento alla normativa europea: in base al provvedimento, non appena saranno operative le disposizioni del nuovo Regolamento UE, il Codice in materia di protezione dei dai personali (dlgs 196/2003) andrà in pensione. Il decreto è stato approvato in via preliminare, ora deve affrontare l’iter dei pareri parlamentari e poi tornare in CdM per approvazione definitiva.
Il GDPR (General Data Protection Regulation) entrerà in vigore in tutti i 27 Stati Membri nello stesso momento, rendendo più stringenti le norme sulla sicurezza dei dati, imponendo specifici obblighi di comunicazione a fronte di violazioni ed irrobustendo l’impianto sanzionatorio.
Introdotta una regola fondamentale: la violazione del GDPR viene commessa in tutti i casi in cui riguardi dati europei, indipendentemente dal luogo in cui essi vengono processati. In altri termini: che la società che li gestisce si trovi o meno in Europa è ininfluente, il regolamento si applica a tutti i casi di utilizzo di informazioni che riguardino utenti residenti nel territorio UE.
Il GDPR, in linea generale, prevede che i dati personali siano trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità, adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, esatti e, se necessario, aggiornati, conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, a prova di integrità e riservatezza.
Sono previste tutte le procedure necessarie in materia di consenso, sono dettagliati i diritti dell’interessato (che sussistono anche nel momento in cui i dati sono raccolti presso terzi), che riguardano consenso, rettifica, cancellazione e tutti gli altri aspetti relativi alla conservazione e gestione dei dati.
Per le imprese, sono particolarmente importanti i capitoli relativi agli obblighi del responsabile del trattamento dei dati.
Bisogna predisporre un registro delle attività di trattamenti dei dati personali svolte sotto la propria responsabilità, mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, notificare le violazioni alle autorità di controllo e all’interessato, effettuare valutazioni d’impatto sulla protezione dei dati, designare un responsabile della protezione dei dati.
Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati (DPO) per tutte le sedi, a condizione che sia facilmente raggiungibile da ciascuno stabilimento. Nel Regolamento sono dettagliati attività, responsabilità e compiti del responsabile della protezione dei dati.