(di Antonio ing. Capodieci) – Il Regolamento Europeo sulla protezione dei dati personali, noto anche come GDPR (General Data Protection Regulation), entrato in vigore il 24 maggio 2016, sarà esecutivo dal 25 maggio 2018. Il GDPR si applica a tutte le Organizzazioni pubbliche e private, tranne rari e ben definiti casi, che in una qualsiasi modalità, automatica e/o manuale (anche se avete solo faldoni il GDPR si applica lo stesso!!!), trattano dati di persone fisiche. Il GDPR ribalta completamente la disciplina sulla privacy. Non basta, come succedeva in passato, aver adottato le misure minime di protezione.
Con il GDPR, il Titolare del trattamento, normalmente il Legale Rappresentante, deve essere in grado di dimostrare la propria conformità al Regolamento attraverso l’adozione di misure tecniche ed organizzative idonee a tutelare i dati in proprio possesso. Occorre per rispettare dei diritti dell’interessato definire con dettaglio le indicazioni sulla finalità del trattamento, la norma che ne autorizza il trattamento, gli eventuali destinatari/utilizzatori dei dati, il periodo di conservazione dei dati, la rettifica o cancellazione degli stessi, le modalità di accesso ai dati, le modalità di portabilità dei dati, e quelle di diritto di opposizione.
Le prime iniziative da avviare per rispondere obbligatoriamente prima del 25 maggio, sono:
- la designazione del DPO (Data Protection Officer); una sorta di consulente esperto di GDPR;
- l’istituzione del Registro delle attività di trattamento; un elenco dettagliato ed esaustivo, di tutte le attività, interne all’organizzazione che trattano dati di persone fisiche;
- la valutazione d’impatto da violazioni (DPIA – Data Protection Impact Assessment); occorre valutare, per ogni trattamento, cosa comporterebbe il furto o la perdita dei dati relativi;
Come si può facilmente comprendere, l’impatto del GDPR sulle organizzazioni pubbliche e private è notevolissimo, e altrettanto notevoli sono le sanzioni previste, fino a 20 milioni di euro o il 4% del fatturato per le società private, si prende in considerazione il limite più alto. Immaginate cosa comporti fare una valutazione di impatto per le violazioni di dati contenuti nei sistemi di video sorveglianza pubblica o dei dati sui tributi o peggio ancora sui dati in ambito sanitario.
La Pubblica Amministrazione deve affrontare un ennesimo adempimento normativo comunitario, che però, se opportunamente recepito, potrebbe essere l’occasione di modernizzazione in chiave digitale dei processi amministrativi. Occorre infine ribadire che essendo un Regolamento Europeo il Parlamento Italiano non può intervenire pertanto non ci si può aspettare la consueta proroga dell’ultimo minuto!