GDPR: General Data Protection Regulation

Quali sono le novità previste dal regolamento generale sulla protezione dei dati?

Il GDPR è stato introdotto dal Regolamento UE 2016-679 del Parlamento europeo e del consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Si tratta di un Regolamento e come tale non richiede una legge nazionale di recepimento. È entrato in vigore il 24 maggio 2016 e la sua attuazione negli Stati membri dell’Unione Europeo avverrà dal 25 maggio 2018, data dalla quale sarà direttamente applicabile.

I diritti e la libertà delle persone sono posti al centro della normativa e diventano oggetto di una tutela rafforzata ed estremamente delicata.

Ai sensi dell’art. 1, par. 2, del citato Regolamento, il diritto alla protezione dei dati personali è considerato un diritto fondamentale delle persone e, di conseguenza, qualsiasi trattamento dovrà avvenire su una precisa base giuridica la cui indicazione documentale diventa indispensabile.

Questo inquadramento comporta da una parte una maggiore responsabilizzazione dei titolari del trattamento (accountability) e dall’altra parte una più minuziosa valutazione del rischio connessa al trattamento di dati personali che potrebbe violare i diritti o la libertà delle persone.

Viene inoltre introdotto il concetto della cosiddetta portabilità dei dati personali che indica la possibilità di trasferimento dei propri dati personali da un titolare del trattamento ad un altro con una serie di limitazioni ed eccezioni, come, per esempio, l’interesse pubblico.

Oltre agli adempimenti procedurali, in caso di violazioni, viene definito un obbligo di comunicazione al Garante della Privacy da parte del titolare del trattamento che deve però anche adoperare tutte le misure necessarie per limitare i danni.

Dal punto di vista pratico le aziende sono tenute alla predisposizione di un Registro dei trattamenti dei dati personali e alla nomina di un responsabile della protezione dei dati (Data Protection Officer).

Ulteriore aspetto fondamentale assume il diritto alla cancellazione (diritto all’oblio) dei dati di una persona fisica regolato dall’articolo 17 che prevede la cancellazione dei dati su richiesta. Quando i dati sono stati resi pubblici questa richiesta deve essere trasmessa a tutti coloro che li utilizzano.

Le sanzioni previste all’art. 38 del GDPR sono davvero pesanti e possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo e richiedono l’adozione tempestiva degli interventi necessari per l’adeguamento organizzativo e tecnologico alla nuova normativa.

Regina Wedenig
Legal Advisor in Verona

Codrin