Il General Data Protection Regulation (in seguito anche “GDPR” o “Regolamento”) è il Regolamento (UE) 2016/679 che modifica ed uniforma tutta la normativa “privacy” (dataprotection) della intera Comunità Europea; esso è direttamente applicabile e vincolante in tutti gli Stati membri e non richiede una legge di recepimento nazionale.
Il Regolamento è entrato in vigore il 24 maggio 2016, ed ha avuto piena applicazione a partire dal 25 maggio 2018; attualmente è rimasto in vigore il D.Lgs.196/03, con il quale si riscontrano alcuni aspetti conflittuali, che dovranno essere risolti tramite un decreto di “adeguamento” del Governo Italiano, previsto entro il mese di Agosto.
Il nuovo GDPR rappresenta un traguardo importante per la tutela della dignità dei cittadini europei, nel contesto di una rapida evoluzione tecnologica che pone il dato personale al centro del business delle grandi imprese di internet (e non solo).
L’obiettivo che il Regolamento si pone è principalmente quello di incrementare le tutele ai diritti fondamentali dei cittadini europei, creando regole uniformi tra i Paesi membri. Si tratta di un cambio di passo fondamentale, che richiede necessariamente una nuova gestione proattiva della sicurezza dei dati (non più reattiva come in precedenza), permeando tutti processi aziendali che trattano dati; tra le righe del nuovo testo traspare l’auspicio del legislatore europeo che la tutela dei dati personali diventi un leitmotiv delle organizzazioni.
Il nuovo regolamento:
- sposta il “focus” dalla tutela del dato personale alla tutela di tutta l’infrastruttura di trattamento;
- impone alle organizzazioni una raccolta e un utilizzo più trasparente dei dati personali, allineato alla normativa fin dalla progettazione (Data Protection by Design-Default);
- introduce regole più chiare in merito alla informativa da fornire ed al consenso da ottenere, stabilendo precisi limiti al trattamento automatico dei dati;
- richiede processi più consapevoli ed accorti sulla gestione e conservazione dei dati, regolando rigorosamente anche il trasferimento e l’interscambio con paesi extra-UE;
- obbliga le organizzazioni a rivalutare le attuali “infrastrutture di trattamento di dati personali” in ottica GDPR e ad effettuare migliori e frequenti controlli nell’ottica di prevenire eventuali violazioni e data-breaches.
Il Regolamento si applica a tutte le organizzazioni con sede in Europa, ma anche a tutte quelle con sede legale extra UE che trattano dati di soggetti residenti in Europa; questo nuovo concetto di “extra-territorialità” si basa su una ratio chiara: i dati personali dei soggetti europei non possono essere trattati con regole diverse in base alla localizzazione geografica delle organizzazioni che li trattano; in questo senso, il GDPR avrà forte rilevanza sulle grandi organizzazioni internet che trattano dati personali di milioni di persone (come per esempio fanno Amazon, Google, FaceBook, Apple, Microsoft, eBay ed altri).