Il 25 maggio prossimo entrerà in vigore la nuova normativa europea sulla privacy, il “famigerato” GDPR (General Data Protection Regulation- Regolamento UE 2016/679). Niente sarà più scontato e ogni volta che avremo a che fare con i dati personali di qualcuno dovremmo farci un bel po’ di domande ad iniziare se sia lecito o meno raccogliere, che fine fanno questi dati, quanto possiamo tenerli e soprattutto se siamo stati abbastanza chiari nello spiegare a chi ci fornisce i dati personali come vorremmo trattarli. Chi colpisce questa normativa europea approvata nel 2016 e balzata agli onori della cronaca negli ultimi mesi. Colpisce le piccole, medie e grandi aziende, indiscriminatamente e senza remore e vuol rendere più omogenea la protezione dei dati personali all’interno dell’Unione Europea. La normativa prevede l’individuazione di tre figure, il titolare del trattamento dei dati personali, il responsabile del trattamento dei dati personali e il DPO (Data Protection Officer) che sarà il “malcapitato” che in una grande azienda dovrà avere, contemporaneamente, competenze giuridiche, informatiche, risk management e di analisi dei processi. Tra le tante novità introdotte dal nuovo regolamento vi è anche il principio di Accountability, cioè di responsabilizzazione, che diventerà di vitale importanza per aziende pubbliche e private. Il preambolo al GDPR afferma che “una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche”. E sulla base di questo principio di responsabilizzazione “non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo” nello stesso modo in cui, aggiungiamo noi, si notifica all’autorità competente lo smarrimento di una carta di credito o il furto all’interno di un’azienda. La comunicazione alle autorità è esclusa solo se il furto o lo smarrimento di dati personali non comporti un rischio per i diritti e le libertà delle persone fisiche.
Francesco Cappello
