Il 25 Maggio del 2018 entrerà in vigore il regolamento europeo GDPR approvato poche settimane fa dal parlamento europeo e sarà una svolta importante per tutte le aziende, sia pubbliche che private che vedranno unificate le regole per il trattamento dei dati in tutta la zona dell’unione. Il nuovo regolamento, infatti, pur portando con sé alcuni punti che ancora non sono del tutto chiari (sui quali però sicuramente l’autorità farà luce nei prossimi mesi) uniformerà le regole e permetterà alle aziende di poter lavorare in un quadro normativo molto semplificato, senza dover ricorrere a leggi specifiche e diverse per ogni stato nel quale andranno ad operare.
Grande curiosità desta la figura del Data Protection Officer (obbligatorio in alcuni casi e consigliato in altri, che approfondiremo più avanti) che sarà figura destinata ad essere cardine nelle realtà aziendali più complesse, ma grandi differenze saranno anche l’introduzione della privacy by default e by design, l’introduzione del diritto all’oblio, la grande novità del diritto alla portabilità dei dati, il principio di accountability.
Il regolamento europeo introduce alcune semplificazioni degli oneri e adempimenti a carico delle aziende, in particolare viene abrogato l’adempimento della notificazione preliminare al Garante privacy, dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di trattamenti dati particolarmente delicati e che attualmente vede dispensate solo determinate categorie di soggetti e trattamenti come specificato dai vari provvedimenti.
Il testo prevede inoltre un rafforzamento dei poteri delle Autorità Garanti nazionali e un inasprimento delle sanzioni amministrative a carico di imprese e pubbliche amministrazioni: nel caso di violazioni dei principi e disposizioni del regolamento, le sanzioni, in casi particolari possono arrivare fino a 10 milioni di euro o per le imprese fino al 2%-4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Forse per la prima volta da molto tempo, ci sarà una vera e propria evoluzione delle richieste fatte ai soggetti incaricati del trattamento: i dirigenti e i funzionari, dovranno essere attori di un profondo cambiamento culturale con forte impatto organizzativo nell’ottica di adeguare le norme di protezione dei dati ai cambiamenti determinati dall’incessante evoluzione delle tecnologie (cloud computing, digitalizzazione, social media, cooperazione applicativa, interconnessione di banche dati, pubblicazione automatizzata di dati on line); gli incaricati dovranno esulare dalle semplici azioni burocratiche ed effettuare le operazioni di trattamento con un diverso spirito critico.