Il Regolamento Generale sulla Protezione dei dati, noto come General Data Protection Regulation, è stato pubblicato in GU dell’Unione Europea il 4 maggio 2016.
In Italia il Regolamento è entrato in vigore il 24 maggio 2016 e diventerà pienamente applicabile a partire dal 24 maggio 2018 , momento in cui tutti i destinatari dovranno adottare le misure necessarie per assicurare la conformità con le previsioni contenute.
Una delle principali rivoluzioni riguarda l’introduzione della figura del Responsabile della Protezione dei Dati (Data Protection Officer, DPO), una figura altamente specializzata che deve rispettare requisiti e possedere un’adeguata competenza al fine di verificare l’adeguatezza delle misure adottate e verificarne l’efficacia.
Caratteristiche del Regolamento Generale sulla Protezione dei dati
Il Regolamento Generale sulla Protezione dei dati introduce un nuovo approccio alla protezione dei dati attraverso un bilanciamento delle esigenze di protezione dei dati personali con lo sviluppo economico e tecnologico basandosi su un approccio di rischio e su di un principio di proporzionalità.
Tale visione lascia margine nella valutazione degli obblighi e responsabilità da parte del titolare che, però, si trova a dover fare i conti con un maggior grado di responsabilizzazione: “accountability”. Le norme non sono più prescrittive, ma indicano principi base che l’azienda deve applicare sulla base della dimensione, della natura del business e delle attività svolte al suo interno.
Privacy By Design e By Default
Privacy By Design e By Default sono due nuovi approcci che pongono la necessità di una valutazione ex ante che consenta di strutturare i processi interni tenendo conto di tutti i possibili rischi inerenti alla protezione dei dati personali che potranno manifestarsi nel futuro, prevedendo anche le misure di intervento.
Come si preparano le società Fintech all’entrata in vigore del Regolamento
Anche le società Fintech si preparano all’entrata in vigore del Regolamento Generale sulla Protezione dei dati. Infatti, il regolamento ha un’applicazione trasversale. Sanzioni salate per la mancata osservanza dei principi: fino al 4% del fatturato o 20 milioni di Euro.
I punti essenziali riguardano il consenso e la sicurezza. Il primo che, per essere validamente concesso, deve avere determinati requisiti, deve essere liberamente espresso ed essere specifico ad ogni tipologia di trattamento, escludendo il sistema point and click, che consiste nella possibilità per l’utente di acquistare beni e servizi semplicemente compilando un modulo elettronico e “cliccando” sul c.d. pulsante negoziale virtuale, o semplicemente “carrello”; nel secondo caso, in merito alla sicurezza, il Regolamento – in una sezione specifica – prevede indicazioni sulle precauzioni minime da adottare per garantire riservatezza, integrità e disponibilità dei dati: dati cifrati, raccolti sotto pseudonimo laddove il trattamento non abbia determinate finalità.