GDPR

IL REGOLAMENTO

Il 16 aprile 2016 il Parlamento Europeo ha approvato il nuovo Regolamento Europeo - n. 2016/679 - in materia di protezione dei dati personali o GDPR (General Data Protection Regulation) che è entrato in vigore il 25 maggio 2016 e diventerà obbligatorio in tutti gli Stati Membri a partire dal 25 maggio 2018.

Il Regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l'esercizio di nuovi diritti (diritto all’oblio, portabilità dei dati), stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali o data breach.


 

NUOVI PRINCIPI, PROCEDURE E SOGGETTI

Il Regolamento introduce un principio fondamentale, l’accountability o responsabilizzazione dei Titolari del trattamento, promuovendo l’adozione di politiche che tengano costantemente conto del rischio che un determinato trattamento di dati può comportare per i diritti e le libertà degli interessati.
Il principio di accountability costituisce quindi un approccio pratico e concreto alla disciplina sulla privacy, finalizzato a dimostrare che il sistema di gestione privacy attuato dal titolare del trattamento è conforme al GDPR.

Anche i principi della privacy by design - protezione dei dati fin dalla progettazione e organizzazione di un trattamento - e privacy by default – adozione di misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità -  contribuiscono a rafforzare il concetto di “responsabilizzazione” che permea il nuovo regolamento.

Il GDPR prevede anche nuove procedure quali un’approfondita analisi dei rischi (art. 32 – Sicurezza del trattamento), la valutazione d’impatto sulla protezione dei dati (art. 35) e la tenuta dei registri del trattamento (art. 30) e in alcuni casi sono previsti verifiche preliminari da parte del Garante.

È stata inoltre introdotta la figura del Data Protection Officer, che deve avere una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati.


 

SANZIONI

Il nuovo GDPR ha introdotto sanzioni amministrative fino a 20.000.000 di Euro, o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiore, per violazioni in materia di principi base del trattamento, diritti degli interessati, acquisizione del consenso, trasferimento di dati personali all'estero, o mancata ottemperanza a un ordine dell’autorità garante.

Per violazioni inerenti le disposizioni relative agli obblighi del Titolare o del Responsabile del trattamento sono invece previste sanzioni fino a 10.000.000 di euro, o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente se superiore.

Ciascuna autorità Garante dovrà, inoltre, esprimersi circa le sanzioni penali applicabili.