Il regolamento generale sulla protezione dei dati dovrà essere applicato a partire dal 25 maggio 2018.

In vista di questa scadenza, ormai prossima, la Commissione Europea, ha pubblicato una comunicazione (in data 24 gennaio) con questi chiari obiettivi:

  • riepilogare le principali novità e opportunità offerte dalla normativa;
  • fare il punto delle attività preparatorie svolte a livello di Unione;
  • delineare ciò che la Commissione europea, le autorità nazionali di protezione dei dati e le amministrazioni nazionali devono ancora fare per accompagnare positivamente l’introduzione della normativa;
  • indicare le misure che la Commissione Europea si è proposta di adottare nei prossimi mesi.

Un aggiornamento necessario

Il GDPR arriva dopo circa vent’anni di legislazione in materia di tutela dei dati e di giurisprudenza espressasi in merito. Era necessario un aggiornamento, con la conferma dei principali principi della legge ma anche con l’introduzione di novità cherafforzano la tutela dei diritti delle persone e offrono nuove opportunità per le imprese e le attività commerciali.

I principi di protezione dei dati devono essere tenuti in considerazione sin dalla progettazione, così da incentivare  l’adozione di soluzioni innovative sin dall’inizio.

Il livello dei diritti dei singoli è stato incrementato, ad esempio in materia di informazione, accesso e cancellazione (“diritto all’oblio”); il consenso dovrà essere esplicito ed inequivocabile; sono state introdotte anche garanzie per la protezione dei minori online.

È stato introdotto il diritto alla portabilità dei dati, che permette ai cittadini:

  • di chiedere ad un’impresa o ad una organizzazione la restituzione dei dati personali, ad essa forniti sulla base del consenso o di un contratto;
  • di trasmettere direttamente tali dati personali a un’altra impresa od organizzazione, se tecnicamente fattibile.

In caso di violazioni, sono state introdotte maggiori protezioni. Infatti, il regolamento fornisce una chiara definizione di “violazione dei dati personali” ed introduce un obbligo di notifica all’autorità di controllo entro 72 ore quando la violazione dei dati può presentare un rischio per i diritti e le libertà delle persone. In alcuni casi, vi è anche l’obbligo di informare l’interessato.

Si prevede anche la garanzia della protezione dei dati personali anche nel caso di trasferimento di dati al di fuori dell’UE.

Inevitabilmente, si sottolinea la necessità di un “sistema di governance moderno, per garantire un’applicazione più coerente ed efficace delle norme”. Il sistema deve prevedere poteri armonizzati per le autorità di protezione dei dati, anche per quanto riguarda le sanzioni pecuniarie, e nuovi meccanismi di cooperazione in rete tra tali autorità. È necessaria, pertanto, la cooperazione tra tutti i soggetti coinvolti, dagli Stati membri, alle pubbliche amministrazioni, alle autorità nazionali di protezione dei dati, alle imprese ed organizzazioni che trattano dati personali, ai cittadini, alla Commissione Europea.

Step previsti per le linee guida della GDPR

L’articolo 29 della GDPR prevedeva la costituzione di un gruppo di lavoro, tra autorità nazionali di protezione dei dati, al fine di pubblicare linee guida per le imprese e altre parti interessate. Gli step previsti sono:

Diritto alla portabilità dei dati

Adottati in data 4-5 aprile 2017

Responsabili della protezione dei dati

Individuazione dell’autorità di controllo capofila

Valutazione d’impatto sulla protezione dei dati

Adottato in data 3-4 ottobre 2017

Sanzioni amministrative pecuniarie

Adottato in data 3-4 ottobre 2017

Profilazione

Attività in corso

Violazione dei dati

Attività in corso

Consenso

Attività in corso

Trasparenza

Attività in corso

Certificazione e accreditamento

Attività in corso

Criteri di riferimento per l’adeguatezza

Attività in corso

Norme vincolanti d’impresa per i titolari del trattamento

Attività in corso

Norme vincolanti d’impresa per i responsabili del trattamento

Attività in corso

Strumenti per il trasferimento di dati verso i paesi terzi Attività in corso

Inoltre, la Commissione sta predisponendo degli orientamenti pratici per aiutare le imprese, le autorità pubbliche ed i cittadini a conformarsi alle nuove norme.