REGOLAMENTO UE 679/2016

Il 14 aprile 2016 è stato approvato definitivamente il Regolamento Europeo in materia di Data Protection (GDPR 216/679). La nuova norma va ad abrogare integralmente la direttiva 95/46/CE (Privacy) ed il D.Lgs 196/03 in materia di protezione dei dati personali ed è entrato definitivamente in vigore il 25 maggio 2018.

Il regolamento introduce una serie di novità in materia di obblighi, diritti e conseguenti rischi, rilevanti per le aziende dal punto di vista sia economico (sanzioni fino al 4% del fatturato worldwide) sia reputazionale (possibili conseguenze di un incidente informatico che metta a rischio l’integrità o la riservatezza dei dati).

Tra i principi introdotti dal regolamento, una grande novità è costituita dal principio della “responsabilizzazione” (accountability nell’accezione inglese) dei titolari, ossia, dall’adozione di comportamenti proattivi volti a dimostrare la concreta adozione di misure necessarie ad assicurare l’applicazione del regolamento. In altri termini, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali all’interno della propria azienda.

Il GDPR e la normativa italiana

E’ stato pubblicato in Gazzetta ufficiale (n. 205 del 4 settembre 2018) il dlgs 10 agosto 2018, n. 101 (ai sensi dell’art. 13 della legge 25 ottobre 2017, n. 163 – legge di delegazione europea) recante disposizioni per adeguare la normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza delle normative nazionali.

Si tratta, quindi, del decreto di raccordo tra la normativa italiana e il GDPR, che disciplina il passaggio dell’ordinamento italiano della privacy (disciplinato sino ad ora dalla Dir 95/46/CEE e dal vecchio Codice della privacy, dlgs 196/2003) al nuovo Regolamento, stabilendo cosa resta in vigore e cosa viene abrogato.

Nulla cambia ai fini degli adempimenti necessari per la messa a norma da parte delle attività.

Alla Luce di questo le aziende si trovano pertanto nella condizione di dover soddisfare nuove esigenze:

Privacy by Design

Privacy by design significa che ogni nuovo servizio o processo aziendale che utilizza i dati personali deve prendere in considerazione la protezione di quei dati. Le aziende devono essere in grado di dimostrare che hanno adottato un adeguato grado di sicurezza e che monitorano la compliance. In pratica, questo significa che la protezione dei dati deve essere un aspetto determinante lungo l’intero ciclo di sviluppo di un nuovo sistema.

Privacy by Default

Privacy by default significa semplicemente che quando un cliente acquista un nuovo prodotto o servizio vengono applicate automaticamente le impostazioni di privacy più rigorose. In altri termini, non dovrebbero essere necessarie modifiche manuali alle impostazioni sulla privacy da parte dell’utente. I titolari o responsabili del trattamento potranno archiviare dati solo per il tempo strettamente necessario a fornire un prodotto o servizio.ModificaGDPR