Si avvicina la data del 25 maggio 2018, momento dal quale sarà pienamente applicabile il Regolamento UE 679/16 (o GDPR), fonte europea direttamente applicabile che raggiunge l'obiettivo di uniformare la legislazione in tema di protezione dei dati personali in tutto il territorio dell'Unione Europea, diversamente dalla precedente Direttiva CE 95/46, recepita dai singoli Stati Membri con la propria normativa nazionale (in Italia è attualmente recepita dal D.lgs. n. 196/03, ovvero il cd. Codice Privacy). In forza del nuovo Regolamento, le organizzazioni dovranno affrontare la sfida di adeguare i propri processi interni affinché sia assicurata la compliance ai nuovi adempimenti richiesti dalla normativa privacy europea. Tale necessità non rappresenta solo un mero adempimento burocratico, ma è la dimostrazione al mercato e ai diversi stakeholder, che l'organizzazione dispone di un Modello Organizzativo Privacy idoneo a tutelare la riservatezza dei dati personali che sono oggetto di trattamento nell'ambito dei processi aziendali. E questo è proprio ciò a cui si deve mirare: fare della compliance Privacy una leva di vantaggio competitivo nei confronti dei concorrenti. Il Regolamento UE 679/16, pur facendo salve le linee guida introdotte dalla Direttiva CE 95/46 in materia di protezione dei dati personali, introduce importanti novità e regole più chiare in tema di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l'esercizio di nuovi diritti (diritto all'oblio e diritto alla portabilità del dato), stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell'UE e per i casi di violazione dei dati personali (il cd. data breach), introduce il concetto di “accountability” e la nuova figura del Data Protection Officer (o DPO).

Entrando più nel dettaglio delle novità introdotte dal GDPR, è importante evidenziare che:

• l’informativa è improntata sempre più sul concetto di trasparenza del trattamento dei dati personali e dell’esercizio dei diritti in carico agli interessati, in particolare nel caso in cui i dati siano oggetto di trasmissione in Paesi extraeuropei e nel caso di esercizio del diritto di revocare il consenso a determinati trattamenti;
• il consenso deve essere preventivo e inequivocabile, anche quando espresso attraverso mezzi informatici e nel caso di trattamento di dati sensibili, deve essere anche esplicitamente prestato; pertanto non è ammesso il consenso tacito;
• con riguardo al cd. data breach, le organizzazioni devono comunicare in modo chiaro, semplice e immediato il verificarsi di violazioni dei dati personali all’Autorità Garante della Privacy e, nel caso in cui la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, anche agli interessati coinvolti;
• il concetto di accountability si riferisce alla necessità di una responsabilizzazione delle organizzazioni nell’adozione di approcci e politiche che tengano conto costantemente del rischio che i trattamenti di dati personali possono comportare per i diritti e le libertà degli interessati, attraverso il rispetto dei principi di “privacy by design” e “privacy by default”, al fine di garantire la protezione dei dati sin dalla fase di ideazione e progettazione di un trattamento, e adottare comportamenti che consentano di prevenire possibili problematiche e minimizzare l’utilizzo dei dati personali al fine di raggiungere le finalità prescritte;
• il Data Protection Officer (o DPO) è la nuova figura di “Responsabile della protezione dei dati”, incaricato di assicurare una gestione corretta dei dati personali nelle organizzazioni.