REGOLAMENTO UE 679/2016
Il 14 aprile 2016 è stato approvato definitivamente il Regolamento Europeo in materia di Data Protection (GDPR 216/679). La nuova norma va ad abrogare integralmente la direttiva 95/46/CE (Privacy) ed il D.Lgs 196/03 in materia di protezione dei dati personali ed è entrato definitivamente in vigore il 25 maggio 2018.
Il regolamento introduce una serie di novità in materia di obblighi, diritti e conseguenti rischi, rilevanti per le aziende dal punto di vista sia economico (sanzioni fino al 4% del fatturato worldwide) sia reputazionale (possibili conseguenze di un incidente informatico che metta a rischio l’integrità o la riservatezza dei dati).
Tra i principi introdotti dal regolamento, una grande novità è costituita dal principio della “responsabilizzazione” (accountability nell’accezione inglese) dei titolari, ossia, dall’adozione di comportamenti proattivi volti a dimostrare la concreta adozione di misure necessarie ad assicurare l’applicazione del regolamento. In altri termini, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali all’interno della propria azienda.
Il GDPR e la normativa italiana
E’ stato pubblicato in Gazzetta ufficiale (n. 205 del 4 settembre 2018) il dlgs 10 agosto 2018, n. 101 (ai sensi dell’art. 13 della legge 25 ottobre 2017, n. 163 – legge di delegazione europea) recante disposizioni per adeguare la normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza delle normative nazionali. Nulla cambia ai fini degli adempimenti necessari per la messa a norma da parte delle attività. Alla Luce di questo le aziende si trovano pertanto nella condizione di dover soddisfare nuove esigenze:
Privacy by Design
Il principio della privacy by design implica che la protezione dei dati personali debba essere considerata fin dall’inizio di ogni nuovo servizio o processo aziendale che li impiega. Le aziende sono tenute a dimostrare di aver implementato misure di sicurezza adeguate e di effettuare un monitoraggio costante della conformità. Ciò significa che la tutela dei dati deve essere un elemento chiave durante tutto il ciclo di vita dello sviluppo di un sistema.
Privacy by Default
Il principio della “Privacy by Default” richiede che il responsabile del trattamento identifichi, prima di iniziare il trattamento, quali dati personali siano essenziali per lo scopo specifico per cui sono stati raccolti, al fine di tutelare la privacy dei dati personali.
Questo principio sottolinea l’importanza della minimizzazione dei dati in relazione alle misure di Privacy by Default. Applicare il principio di minimizzazione non è facile, in quanto necessita di valutare, giustificare e determinare i dati indispensabili per il trattamento. Inoltre, i dati richiesti devono essere definiti attraverso un’analisi complessiva dei dati necessari per raggiungere gli scopi del trattamento. Questa analisi varierà a seconda del tipo di trattamento, dei soggetti coinvolti e dell’importanza dei dati processati. In conclusione, il Responsabile deve esaminare i trattamenti da realizzare e considerare i potenziali rischi per l’interessato.