Privacy, ecco cosa cambia. Il Gdpr in vigore da venerdì 25 maggio
Il tempo è scaduto: venerdì 25 maggio entra in vigore il Gdpr, General Data Protection Regulation, il nuovo regolamento europeo sulla protezione dei dati personali (n. 679 / 2016). Una normativa che fa già tremare i polsi a molte aziende italiane. La ragione? Le sanzioni: salatissime.
Chi sono i destinatari?
La portata del regolamento è molto ampia. Sono coinvolti tutti coloro che trattano dati personali: dalle società che operano in ambito finanziario a quelle delle “utilities”, dalle imprese turistiche a quelle specializzate nel settore della salute, passando, ovviamente, per provider di servizi informatici, digitali e televisivi.
Cosa prevede la Gdpr?
Il regolamento si compone di 99 articoli e prevede numerose novità, tra le più importanti:
- Il principio di accountability: la responsabilizzazione dei titolari del trattamento nella gestione dei dati personali da cui deriva l’obbligo per le aziende di dotarsi di un apposito registro e di un Data Protection Officer;
- Il registro delle attività: un elenco in cui le aziende dovranno indicare perché i dati vengono elaborati e in che modo, chi sono i destinatari e per quanto tempo saranno tenute in archivio tali informazioni;
- Il consenso: la richiesta di utilizzo dei dati personali deve essere sempre comprensibile e accompagnata dai contatti del responsabile della protezione dati;
- Il diritto all’oblio: se i dati personali vengono usati in modo illecito, gli utenti possono richiedere la loro rimozione. Questa norma si applica anche ai motori di ricerca;
- Denuncia: se i dati vengono violati, si può presentare denuncia all’autorità nazionale che dovrà indagare e rispondere entro tre mesi;
- Obbligo di notifica in caso di data breach (violazione di dati personali): gli utenti devono essere informati entro 72 ore se le aziende subiscono fughe di informazioni sensibili.
Chi è il Dpo?
L’introduzione del Dpo, o Data Protection Officer, in azienda è la novità principale del regolamento. Il Dpo è il soggetto che si occuperà di vigilare sull’applicazione della normativa. L’esperto sarà il punto di riferimento in azienda per tutto ciò che ha a che fare con la sicurezza dei dati personali e dovrà interfacciarsi, in caso di necessità, con il Garante della privacy.
Secondo quanto previsto dal regolamento, il Dpo potrà essere una risorsa interna all’azienda o un consulente esterno, purché operi con la massima indipendenza. Per questo, per evitare conflitti di interesse, è preferibile non affidare l’incarico a figure del top management o ai direttori di risorse umane, marketing, finanza e area It che usano i dati per finalità specifiche delle loro attività.
Al momento non esiste un albo o un ente certificatore, ma il professionista che sarà chiamato a svolgere questo ruolo dovrà dimostrare di essere competente in materia legale, amministrativa e di privacy. Si stima che in tutta Italia possano nascere addirittura 42.000 nuovi posti di lavoro da Dpo.
Quali sono le sanzioni per chi viola il regolamento?
Le sanzioni per chi non rispetta il regolamento possono essere molto salate e arrivare fino un massimo di 20 milioni di euro o al 4% del fatturato. Tale sanzione viene comminata nel caso in cui l’organizzazione violi alcuni dei principi fondamentali della normativa. Nel caso di violazioni più leggere, invece, la multa sarà inferiore, anche se ugualmente impattante, arrivando fino a 10 milioni di euro o al 2% del fatturato.
Silvia Pagliuca