General Data Protection Regulation

Il regolamento generale sulla protezione dei dati, regolamento UE 2016/679


Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e unificare la protezione dei dati personali entro i confini dell'Unione europea (UE). Affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando i regolamenti entro l'UE.[1] Quando entrerà in vigore, il GDPR andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC)[2] istituita nel 1995. Può generare confusione per alcuni il fatto che esista una nuova direttiva in aggiunta al nuovo regolamento: sarà applicata ai procedimenti di polizia, che continueranno a variare da Stato a Stato.[3]

Il regolamento è stato adottato il 27 aprile 2016. Verrà applicato a partire dal 25 maggio 2018 dopo un periodo di transizione di due anni e, a differenza di una Direttiva, non richiede alcuna forma di legislazione applicativa da parte degli stati membri.

Lo scopo della normativa

Il regime di protezione dei dati proposto per l'UE estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che gestiscono dati di residenti europei. Permette di armonizzare i vari regolamenti sulla protezione dei dati in tutta l'UE, facilitando così l'osservanza di tali regolamenti da parte delle imprese non europee; tuttavia, questo è stato ottenuto a costo di un regime di una severa disciplina di protezione dei dati, con rigide sanzioni che possono raggiungere il 4% del volume globale di affari.
A seguito di negoziazioni nel dialogo a tre tra Parlamento Europeo, Commissione Europea e Consiglio dei Ministri, si è raggiunto un consenso generale sulla formulazione del GDPR e sulle sanzioni finanziarie per la mancata osservanza.

A tutti gli stati membri UE si applicherà un insieme unico di regole. Ciascuno stato membro istituirà un'autorità sovrintendente indipendente per dare udienza ai reclami, effettuare indagini, sanzionare le infrazioni amministrative, ecc. Le autorità sovrintendenti in ciascuno stato membro collaboreranno con le altre, fornendo assistenza reciproca e organizzando operazioni congiunte. Qualora una ditta abbia più stabilimenti nell'UE, avrà un'unica autorità sovrintendente come propria "autorità principale", sulla base dell'ubicazione del proprio "stabilimento principale" (ossia il posto dove hanno luogo le principali attività di gestione). L'autorità principale agirà quale "sportello unico" per supervisionare tutte le attività di gestione dati di quella ditta nell'UE (Articoli 46 - 55 del GDPR). Una commissione europea per la protezione dei dati (EDPB, European Data Protection Board) coordinerà le autorità sovrintendenti. L'EDPB andrà a sostituire il gruppo di lavoro dell'Articolo 29.

Vi sono eccezioni nel caso di dati elaborati in un contesto di impiego e di dati elaborati a scopo di sicurezza nazionale, che potrebbero ancora essere soggetti ai regolamenti delle singole nazioni (Articoli 2(2)(a) e 82 del GDPR).

Responsabilità

I requisiti per le notifiche rimangono e sono ampliati. Essi devono includere il tempo di mantenimento dei dati personali e occorre fornire i contatti di chi controlla i dati e del funzionario preposto alla protezione dei dati.

È stato introdotto il diritto di contestazione delle decisioni automatizzate, compresa la profilazione (Articolo 22). I cittadini hanno ora il diritto di contestare e contrastare decisioni che hanno impatto su di loro e che sono state realizzate unicamente in base ai risultati di un algoritmo.

Tale diritto, fatta eccezione per dati personali intesi ad identificare in modo univoco una persona fisica (Articolo 9 comma 1), non si applica nel caso in cui la decisione:

  • sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;
  • sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa inoltre misure adeguate a tutela dei diritti, della libertà e dei legittimi interessi dell'interessato;
  • si basi sul consenso esplicito dell'interessato.

I principi di Privacy by Design and by Default (Articolo 25) richiedono che la protezione dei dati faccia parte del progetto di sviluppo dei processi aziendali per prodotti e servizi.

Le impostazioni di privacy sono configurate su un livello alto in modo predefinito.

Le valutazioni dell'impatto della protezione dei dati (Articolo 33) devono essere effettuate nei casi in cui si verifichino rischi specifici per i diritti e le libertà dei soggetti dei dati. La valutazione e la riduzione del rischio sono richieste insieme ad un'approvazione preventiva da parte delle autorità per la protezione dei dati (DPA, Data Protection Authorities) per rischi elevati. I funzionari per la protezione dei dati (Articoli 35-37) sono tenuti a verificare l'osservanza da parte delle organizzazioni. Devono essere nominati per tutte le autorità pubbliche e per le aziende che elaborino i dati di oltre 5000 soggetti nell'arco di 12 mesi.

Obiettivo della normativa

L'obiettivo principale è quello di elaborare due concetti:

  1. La protezione dei dati
  2. La protezione degli utenti

prestando molta attenzione sull'aspetto della privacy e, successivamente, su quello dei diritti. L'utente diventa il punto di partenza per sviluppare il progetto in base alla legge sulla privacy e quindi con un approccio user centric. Ogni volta che un progetto inizia deve prendere in considerazione, prima di tutto, il ruolo dell'utente, progettando tutto attorno alla persona fisica. Secondo questo metodo è molto semplice evitare i rischi privacy e di sicurezza. La PbD esclude, pertanto, che si possa effettuare una valutazione di conformità alla normativa successivamente alla redazione del progetto o comunque posteriormente in occasione di un evento, in quanto la privacy va considerata già nella fase di progettazione. La valutazione di "PbD compliance" costituisce un valore aggiunto di rilievo perché attesta che tutti i processi sono stati seguiti considerando adeguatamente la protezione dei dati personali

Contattami!