GDPR 2018: i nuovi obblighi delle aziende in materia di privacy

Il GDPR sarà in vigore anche in Italia a partire dal 25 maggio 2018. Siete pronti?

Il GDPR è il nuovo Regolamento Generale sulla Protezione dei Dati, in adeguamento al Regolamento UE 2016/679, che mira a rafforzare e rendere omogeneo il trattamento dei dati personali dei cittadini e residenti dell’Unione Europea, all’interno ed all’esterno dei confini dell’Unione Europea.

Col GDPR 2018 vengono introdotte regole più chiare su informativa e consenso, saranno definiti i limiti al trattamento automatizzato dei dati personali e poste le basi per l’esercizio di nuovi diritti, oltre a stabilire criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue e fissare norme rigorose per i casi di violazione dei dati (data breach).

E la nostra legge sulla privacy?

Tutt’oggi in Italia di fatto sussiste ancora il vecchio Codice Privacy (Dlgs 196/2003) non allineato al Regolamento UE e solo a gennaio la Commissione nominata presso il Ministero della Giustizia ha potuto iniziare i lavori di adeguamento della normativa italiana, approvando di recente in via preliminare lo schema di un nuovo decreto legislativo, che difficilmente però vedrà la luce in tempo per fornire i chiarimenti che le imprese avrebbero voluto prima della scadenza, così con una circolare di Federprivacy vengono fissati sei principali punti fermi che aziende e Pubblica Amministrazione non possono ignorare o trascurare.

Ci sarà un tempo transitorio per adeguarsi al nuovo GDPR?

Nicola Bernardi, presidente della principale associazione italiana di riferimento dei professionisti della protezione dei dati spiega la necessità di un documento dedicato alle questioni di diritto transitori per adattarsi alla normativa europea:

“In questa delicata fase di transizione in cui permangono non poche zone grigie nell’attuazione del GDPR (acronimo di General Data Protection Regulation n.d.r.), nella nostra ultima circolare abbiamo messo a fuoco sei principali punti fermi che aziende pubbliche e private non possono ignorare o tralasciare, a prescindere dai prossimi sviluppi normativi nel contesto italiano.

In particolare – sottolinea Bernardi – ogni titolare del trattamento deve tenere presente che i consensi raccolti anteriormente al 25 maggio 2018 saranno ancora validi solo se lo si è fatto in modo conforme al Regolamento UE, per cui potrebbe essere necessario richiederli nuovamente agli interessati, mentre questi ultimi potranno esercitare e far valere tutti i più estesi diritti che sono riconosciuti loro dal nuovo testo. Inoltre, violazioni degli obblighi di notifica dei data breach saranno sanzionabili senza necessità di recepimento in una normativa nazionale.”

Le aziende che saranno trovate fuori regola rischieranno sanzioni fino a 20 milioni di euro o fino al 4% del fatturato. Le imprese e le P.A. devono considerare l’attuazione del GDPR non come un costo ma come un investimento necessario a sostenere il proprio futuro nel mercato e istituzionale: proteggere i dati equivale anche ad assicurarne la qualità.