Il debutto, nel 2018, della nuova normativa europea sulla protezione dei dati personali impone alle aziende di cominciare ad adeguare l’organizzazione interna, fin da ora, per arrivare preparate alla data del 25 maggio 2018, quando sarà efficace in tutta l’Unione il Regolamento generale per la protezione dei dati (Gdpr, regolamento Ue 2016/679 ).
Da quella data, infatti, la normativa europea sostituirà integralmente quella interna attualmente in vigore; il Gdpr sostituirà il nostro Codice privacy (in vigore dal 2003) e la disciplina in materia di trattamento dei dati tra i vari Paesi membri sarà uniforme.
Il legislatore europeo, oltre ad aver previsto l’inasprimento del sistema sanzionatorio, ha deciso di introdurre nuovi concetti e principi sconosciuti alla precedente legislazione, elaborando e specificando i concetti già presenti. Nascono nuove obbligazioni (la tenuta – obbligatoria per le aziende che impieghino più di 250 dipendenti, ma consigliata in ogni caso dal nostro Garante – del registro per le attività di trattamento), nuove procedure (come la notifica dei cosiddetti data breach o violazioni dei dati) e nuove figure (il Responsabile per la protezione dei dati) entrano nel nostro sistema.
Non esisterà più un catalogo di misure minime da adottare per la tutela dei dati, misure che, quindi, garantiscono il titolare da sanzioni e imprevisti. I titolari dovranno mettere in atto tutte le misure che di volta in volta siano adeguate, anche alla luce delle innovazioni tecnologiche, a garantire la tutela dei diritti degli interessati. Ogni titolare, dunque, sarà responsabile dei propri sistemi e della loro tenuta di fronte a possibili violazioni o incidenti.
Poiché tutti i processi aziendali coinvolgono dati personali (gli utenti del sistema sono tutti i soggetti che, a ogni livello, hanno a che fare con le società: clienti, fornitori, dipendenti, ecc), sarà necessaria una formazione specifica, che andrà anche debitamente documentata e inserita nei documenti e nei processi sulla privacy interni. La formazione andrà poi ripetuta e, soprattutto, aggiornata secondo i cambiamenti dell’attività e del tipo di dati trattati.
