Il General Data Protection Regulation (noto con l’acronimo GDPR) è ormai operativo dal 25 maggio 2018 in tutti gli Stati membri dell’Unione europea. Il nuovo Regolamento Privacy si applica a tutti i soggetti che effettuano trattamenti non occasionali, cartacei o digitali, di dati personali di cittadini europei, indipendentemente dall’ubicazione della sede del titolare del trattamento dei dati.
Con il GDPR cambia l’approccio alla privacy: non si parte più da un precetto, ma si prende l’avvio dallo scopo ultimo cui tende il Regolamento (la protezione dei dati personali delle persone fisiche, definita dal medesimo Regolamento come diritto fondamentale, quindi inviolabile) e da esso si individuano e adottano le misure tecniche e organizzative adeguate allo scopo.
In altri termini, la privacy diviene oggetto di un processo aziendale da gestire mediante un modello organizzativo specifico. Il GDPR non lascia spazio a modelli standard predefiniti; nessuna norma indica quali strumenti concreti o quali procedure adottare. Il Regolamento indica solo i principi da seguire per il raggiungimento dello scopo della tutela dei dati personali: la determinazione delle strategie e delle misure che riescano al concreto a garantire la tutela del dato personale sono oggi rimesse al singolo. Il GDPR attribuisce, infatti, un ruolo centrale alla responsabilizzazione, c.d. accountability, del titolare e del responsabile del trattamento. Si tratta di un obbligo dinamico: non basta predisporre le misure, ma occorre monitorare per decidere eventuali modifiche o implementazioni. L’efficacia della tutela passa attraverso la personalizzazione delle misure da adottare.
Tra le principali novità, il nuovo Regolamento prevede l’abbandono delle vecchie informative, lunghe e dense di riferimenti legislativi; il GDPR impone testi semplici e comprensibili a prima vista, contenenti nuovi elementi, come l’origine dei dati e il tempo di conservazione previsto.
Scompare la notificazione al Garante della Privacy e viene introdotto il Registro delle attività del trattamento che dovrà essere messo a disposizione dell’autorità di controllo.
Il Regolamento introduce, inoltre, l’analisi dei rischi generati dal trattamento dei dati (Data Protection Impact Assessment – DPIA), a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati stessi. Tale analisi deve necessariamente essere svolta in una fase preliminare alla raccolta del dato.
Il GDPR prevede anche la nuova figura del Data Protection Officer (DPO), cioè il Responsabile della protezione dei dati personali, rendendone obbligatoria la nomina in presenza di determinate condizioni, tra cui il caso in cui chi tratta i dati sia un soggetto pubblico.
avv. Paola Balzarini