In tutti gli Stati appartenenti all’Unione Europea è divenuto applicabile, a partire dal 25 maggio 2018, il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) e relativo alla protezione delle persone fisiche in merito al trattamento e alla circolazione dei dati personali. Il GDPR nasce con l’obiettivo di rafforzare il livello di protezione dei dati delle persone, le cui informazioni personali fanno parte del suo campo di applicazione. Gli studi professionali, stando a quanto scritto di recente dal commercialista Gianfranco Rienzi sul suo blog.
Andiamo a vedere cosa cambia nel regolamento GDPR.
Cosa cambia nel regolamento GDPR
Sono diversi i punti di svolta con l’introduzione di questo nuovo Regolamento, vediamo insieme cosa è cambiato:
● è stato introdotto il concetto di responsabilizzazione del titolare dei dati;
● sanzioni amministrative molto più elevate per i trasgressori delle norme e che variano a seconda delle disposizioni violate;
● introdotti nuovi concetti di “privacy by design” e un nuovo approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
● regole molto più rigide per la selezione e la nomina del responsabile trattamento dati e di sub-responsabili (in alcuni casi la nomina è obbligatoria);
● sono state introdotte regole più chiare ed esaustive in merito all’informativa e consenso;
● i diritti che spettano all’interessato sono stati ampliati;
● In merito al trasferimento dei dati al di fuori dell’Unione Europea sono stati stabiliti dei criteri molto più rigorosi.
Anche le imprese situazione al di fuori dell’Unione Europea ma che offrono i loro prodotti o servizi nel mercato europeo sono soggette al rispetto della normativa vigente. Tutte le aziende, pertanto, sono tenute a rispettare le nuove regole stabilite dal GDPR ed in caso di inosservanza si rischiano delle sanzioni molto pesanti.
GDPR in Italia: Il decreto legislativo
Il 19 settembre 2018 il D.Lgs n. 101 del 10 agosto 2018 è entrato in vigore introducendo le disposizioni in merito all’adeguamento della normativa a seconda del Regolamento GDPR. Con il Decreto sono stati anche regolamentati diversi aspetti, tra cui la previsione di alcuni illeciti penali, che si vanno ad aggiungere alle sanzioni già previste dal GDPR. Per adeguarsi correttamente alle disposizioni e seguire correttamente le Linee Guida, è stato anche introdotto lo “sportello unico” con il compito di garantire un approccio uniforme oltre che semplificare la gestione del trattamento dati da parte delle imprese. Invece, per le imprese che operano in più Stati UE è necessario rivolgersi direttamente al Garante Privacy del Paese dove hanno la loro sede principale. In Italia, da parte del Garante Privacy, sono state date chiare indicazioni su come allinearsi alla normativa. Le fasi operative stabilite dal Garante sono sostanzialmente tre:
● La nomina del Responsabile della protezione dei dati;
● L’istituzione del Registro delle attività in merito al trattamento dei dati personali;
● La notifica dei data breach.