Tutti pronti per l’applicazione del GDPR?

Il 25 maggio di quest’anno sarà applicato il nuovo regolamento generale sulla protezione dei dati (GDPR), approvato dal Parlamento Europeo il 14 aprile 2016. Dopo tale data, le organizzazioni non in regola saranno passibili di pesanti sanzioni.

Il GDPR sostituisce la direttiva 95 /46 / CE ed è stato concepito per armonizzare le diverse leggi nazionali sulla protezione dei dati applicate in Europa, per proteggere e rafforzare la protezione dei dati di tutti i cittadini europei e per ridefinire l’approccio di tutte le organizzazioni alla protezione dei dati.

PRINCIPALI MODIFICHE APPORTATE DAL GDPR

Lo scopo del GDPR è di proteggere tutti i cittadini europei dalla violazione della privacy in un mondo sempre più basato sulla circolazione di dati, che è profondamente diverso da quello del 1995, anno in cui fu formulata la direttiva. Sebbene i principi fondamentali della protezione dei dati stabiliti nella precedente direttiva siano tuttora validi, sono state apportate modifiche significative alle normative, che avranno importanti ripercussioni soprattutto sul mondo degli affari.

Nomina di un responsabile della protezione dei dati (DPO)

Prima novità fra tutte è la previsione di una nuova figura professionale, non contemplata in precedenza, denominata “responsabile della protezione dei dati” (data protection officer – DPO), la cui designazione sarà obbligatoria ogniqualvolta il trattamento dei dati personali sia effettuato da un’autorità pubblica o da un organismo pubblico.

Il DPO potrà essere designato tra i dipendenti del titolare del trattamento o del responsabile del trattamento oppure identificarsi in un soggetto esterno, chiamato ad assolvere i suoi compiti in base a un contratto di servizi.

Estensione territoriale dell’ambito di applicazione

Un’altra importante novità è l’estensione della giurisdizione del regolamento, poiché riguarda tutte le società che trattano i dati personali di soggetti residenti nell’UE, a prescindere dalla sede della società.

In precedenza, l’applicabilità territoriale della direttiva era ambigua. Il nuovo regolamento rende l’applicabilità molto chiara – essa sarà applicabile al trattamento dei dati da parte di qualsiasi ente nell’UE a prescindere dal fatto che il trattamento abbia luogo nell’UE e a prescindere dal fatto che il responsabile del trattamento risieda in Europa, in tutti i casi in cui le attività riguarderanno: l’offerta di beni o servizi ai cittadini dell’UE e il monitoraggio di comportamenti che hanno luogo all’interno dell’UE. Le società extra comunitarie che tratteranno i dati di cittadini dell’Unione dovranno nominare un proprio responsabile della protezione dei dati in UE.

Sanzioni

 Le organizzazioni che violeranno la direttiva potranno essere multate con sanzioni fino al 4% del fatturato o fino a € 20 milioni. Questa è la massima sanzione applicabile per la violazione più importante, ossia non avere il consenso esplicito e completo da parte dell’interessato al trattamento dei suoi dati, violando così il nucleo centrale del regolamento generale sulla protezione dei dati.

Sanzioni inferiori (fino al 2%) sono previste per le organizzazioni che non terranno in ordine la documentazione (articolo 28) o che non notificheranno eventuali violazioni all’autorità garante. Queste regole valgono sia per i soggetti responsabili del trattamento dei dati che per i processori – ovvero i “cloud” non saranno esenti dall’applicazione del regolamento.

Consenso
Le condizioni per ottenere il consenso sono state rafforzate e le società non potranno più utilizzare lunghe clausole di difficile interpretazione per richiedere il consenso al trattamento dei dati, che dovrà essere raccolto in modo chiaro, con un modulo a parte, e redatto con un linguaggio comprensibile a tutti. Ritirare il proprio consenso per gli interessati dovrà essere semplice tanto quanto rilasciarlo.
Una bella svolta europea in nome della chiarezza.