Per chi è?

Il Regolamento Generale sulla Protezione dei Dati dell’Unione Europea sostituirà l’attuale Direttiva 95/46/EC dal 2018. Rispetto all’attuale direttiva, il GDPR sarà legge e dovrà essere adottato da tutti gli Stati membri UE.

A chi è famigliare la Direttiva, noterà facilmente che il GDPR è costruito sulla Direttiva – alcuni aspetti restano uguali, altri cambiano e ne sono aggiunte nuove regole. Ad esempio il GDPR mette più accento sui diritti individuali, apportando contestualmente multe superiori per il mancato rispetto del regolamento. Il suo scopo è di riconciliare leggi specifiche di ogni Stato che si trovano spesso in conflitto. Ancor più importante, si desidera il cambiamento del modo in cui le organizzazioni operanti sul territorio dell’UE o che raccolgono dati personali dei cittadini dell’Unione, approcciano la privacy dei dati.

Uno dei principali obiettivi del Regolamento è di permettere ai cittadini un maggiore controllo sui dati personali.

Come regolamento il GDPR dev’essere applicato tale negli Stati membri dell’UE, a differenza della Direttiva, la quale è stata adeguata da ogni Stato nella legge nazionale.

A CHI SI APPLICA?

Una delle principali caratteristiche del Regolamento è che avrà un impatto su ogni impresa che utilizza dati personali dei cittadini europei, operante sul territorio dell’UE o meno. In breve, ovunque ti trovassi nel mondo, se vendi dei beni ai cittadini dell’UE o processi i loro dati personali, devi conformarti al GDPR. Questo significa che il Regolamento interesserà molte più organizzazioni rispetto alla Direttiva. È un aspetto positivo per i cittadini europei che adesso sono più protetti e meno positivo per le organizzazioni fuori dell’Unione che saranno costrette a conformarsi ad una nuova serie di regole. Si risponde quindi anche alla domanda che molti cittadini della Gran Bretagna fanno: “come influenzerà il Brexit a loro e al loro affare?” In breve la risposta è che dipende dalle persone con cui lavorano. È poco probabile, almeno all’inizio, che le organizzazioni della Gran Bretagna cessino completamente le relazioni con le persone dell’UE. Di conseguenza le organizzazioni dovrebbero conformarsi al GDPR per essere sicure di evitare le multe.

OPERATORI DI DATI E LA PERSONA INCARICATA DALL’OPERATORE

Altri cambiamenti che le organizzazioni dovrebbero tener presenti sono quelli relativi agli operatori, ovvero alle persone da loro incaricate. L’operatore è l’impresa che determina lo scopo, le condizioni e le modalità di processazione dei dati; la persona incaricata dall’operatore è un’impresa che processa i dati personali in nome del controllore. Sotto la Direttiva, soltanto gli operatori erano ritenuti responsabili per la protezione dei dati, non anche le persone da loro incaricate. Adesso anche le persone incaricate dagli operatori avranno l’obbligo di conformarsi ai requisiti per la protezione dei dati. Sia l’operatore che la persona incaricata possono essere persone fisiche, giuridiche, autorità pubblica, agenzia o un altro organismo.

Come persone incaricata dall’operatore avrete una serie di obblighi in conformità al GDPR, di cui molti si intrecciano con quelli dell’operatore. All’inizio tutte le operazioni di processazione dei dati devono soddisfare certi requisiti del Regolamento. Alcuni esempi sarabbero che un operatore può nominare soltanto delle persone incaricate che garantiscono di implementare abbastanza misure tecniche e organizzative per conformarsi alle regole di protezione dei dati. Inoltre dev’esserci un contratto tra l’operatore e la persona incaricata. Entrambi devono implementare idonee misure di sicurezza. Cosa significa con esattezza “idoneo” sarà deciso in ogni singolo caso, prendendo in considerazione i dati processati, i rischi di una breccia della sicurezza, il costo dell’implementazione e la natura della processazione dei dati