Siamo ormai sempre più vicini alla fatidica data del 25 maggio 2018, giorno in cui entrerà in vigore in tutti i paesi dell’Unione Europea il tanto atteso (e discusso) Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR), la normativa di riforma della legislazione comunitaria in materia di protezione dei dati personali.
Trattandosi di un regolamento, il GDPR non necessiterà di recepimento da parte dei Membri dell’Unione e verrà attuato immediatamente e allo stesso modo in tutti gli Stati UE, senza margini di libertà nell’adattamento.
Un regolamento unico per tutta l’UE
Con il GDPR, l’UE intende superare la frammentazione normativa generata dalla precedente direttiva in materia di trattamento dati personali, emanata nel 1995 ed in vigore fino al 25 Maggio. Trattandosi di una direttiva, la 95/46 obbligava gli Stati Membri al raggiungimento del risultato preposto ma lasciava libertà agli organi nazionali in merito alla forma e ai mezzi di attuazione. In Italia, ad esempio, la direttiva 95/46 è stata attuata con la legge 675 del 31 dicembre 1996. Di fatto, questo ha comportato la presenza di tante legislazioni di attuazione quanti sono gli Stati UE che hanno recepito la direttiva: un panorama perlopiù caotico per i cittadini nonché ostile per il business, dal momento che ogni impresa deve soffermarsi a valutare cosa può o non può fare in ciascuno degli Stati membri.
Per rimediare a tale situazione, l’intento principale del legislatore europeo, in fase di approvazione del GDPR, è stato quello di prevedere delle regole che fossero unitarie e business friendly. Le caratteristiche del regolamento infatti, a differenza di quelle della direttiva, ne consentono l’applicazione diretta in tutti gli Stati membri dell’Unione (senza rendere necessaria alcuna legislazione di attuazione) permettendo così l’armonizzazione della regolamentazione in materia di protezione dei dati personali e la creazione di un unico regime normativo comune a tutto il territorio dell’UE.
Dalla protezione dei dati alla protezione delle persone
Oltre che per l’uniformità di applicazione, il GDPR si distingue dalla direttiva 95/46 anche per un approccio rinnovato e all’avanguardia, capace di rispondere agli attuali e continui mutamenti del mondo digitale. Con il GDPR il focus si sposta dalla protezione dei dati personali (cardine della direttiva 95/46/CE) alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, riconosciuta come un diritto fondamentale ed inviolabile dell’individuo: ciò significa maggiore attenzione agli utenti digitali, soprattutto se minorenni.
A garanzia di questo, il GDPR insiste sulla accountability (responsabilizzazione) del titolare e dei responsabili del trattamento dati, la quale si deve concretizzare nell’adozione di comportamenti proattivi a dimostrazione della concreta (e non meramente formale) adozione del regolamento. In particolare si evidenzia la necessità di attuare misure di tutela e garanzia dei dati trattati, con un approccio del tutto nuovo che demanda ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel Regolamento. Un esempio è rappresentato dalla cosiddetta cookie law, destinata a subire importanti cambiamenti.
Come cambia la cookie law
Il nuovo GDPR impone di informare in maniera puntuale i soggetti interessati prima di effettuare i trattamenti dei loro dati, comunicando all’utente quali dati personali saranno raccolti e come e perché verranno utilizzati. Nella sostanza, con il General Data Protection Regulation decade il concetto di inserimento del banner per avvisare di trattamenti specifici, quali ad esempio analisi statistiche commerciali, perché questi avvisi dovranno essere sostituiti dall’informativa breve e dall’eventuale richiesta di consenso da inserire sul sito o sull’app. L’informativa in questione oltre che puntuale dovrà essere preventiva, il che significa che andrà presentata prima di effettuare qualsiasi trattamento (navigazione, informative, form di contatto, lavora con noi, e-commerce e così via).
Più diritti per i cittadini digitali
Le nuove norme sanciscono maggiori diritti per i cittadini del mondo digitale, garantendo un più facile accesso alle informazioni riguardanti i propri dati nonché le finalità e le modalità di trattamento degli stessi. Viene riconosciuto il diritto alla portabilità dei dati, che consentirà di trasferire i dati personali tra i vari servizi online, e istituzionalizzato il diritto all’oblio (quello che il Regolamento definisce “diritto alla cancellazione”) che consentirà, come sancito dalla Corte di Giustizia europea, di chiedere ed ottenere la rimozione dei dati quando viene meno l’interesse pubblico alla notizia. Sempre a tutela degli utenti, il GDPR impone alle aziende l’obbligo di notifica delle gravi violazione dei dati dei cittadini. In tal caso, le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del “one stop shop” o sportello unico) e sono previste sanzioni amministrative fino al 4% del fatturato globale delle aziende.
Oltre ad essere business-friendly, il nuovo Regolamento Europeo è dunque anche people-oriented e punta allo sviluppo di un mercato unico digitale che gestisca i rapporti economici in modo trasparente e aumenti esponenzialmente la consapevolezza dei singoli.
Kynetic offre a Salerno la consulenza per l’adeguamento di aziende e professionisti ai dettami del Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR).
Poichè si tratta di una consulenza specialistica da effettuare entro pochissimi giorni (il termine del 25 Maggio 2018 è perentorio) è molto importante contattarci per fissare un appuntamento operativo presso l’azienda o lo studio professionale.
Per questo motivo abbiamo attivato un’email gdpr@kynetic.it e un numero di cellulare dedicato 392.9861569.