Il nuovo Regolamento sulla protezione dei dati personali (GDPRGeneral Data Protection Regulation) sarà efficace dal prossimo 25 maggio, come previsto dai trattati internazionali dell’Unione Europea. Il tema assume particolare importanza anche dopo i recenti fatti riguardanti l’uso non autorizzato di informazioni personali raccolte tramite Facebook da Cambridge Analytica.

Le incertezze delle aziende sono dovute al fatto che il GDPR rimanda alle normative nazionali degli stati membri; in Italia è in vigore ancora un vecchio Codice Privacy (datato 2003) che non è stato allineato alle normative Europee. I lavori per l’adeguamento sono iniziati lo scorso gennaio e con molta difficoltà il decreto entrerà in vigore in tempo per chiarire i dubbi delle imprese italiane.

La fretta, i dubbi e le paure di chi dovrà adeguarsi al nuovo regolamento sono in parte dovuti alle pesanti sanzioni che puniranno l’eventuale infrazione, con un massimo di 20 milioni (per privati e aziende non facenti parte di un gruppo) o fino al 4% del fatturato (del consolidato).

La logica dell'accountability, cioè della corretta organizzazione e della documentazione e tracciabilità delle attività di trattamento, prevede che chi non organizza bene la gestione dei dati che raccoglie è punibile per questo semplice fatto, a prescindere dall'abusivo utilizzo dei dati che ne possa derivare.

Anche l’esercizio dei diritti degli interessati verrà agevolato notevolmente e diventerà onere di chi raccoglie i dati predisporre le richieste per l’accesso, la modifica, cancellazione o rettifica degli stessi.

Altre novità sostanziali arriveranno dall’introduzione di una nuova figura aziendale che si occuperà direttamente della protezione dei dati personali (DPO – Data Protection Officer) e da due nuovi principi riguardanti il trattamento dei dati:

  •          Privacy by design significa che la tutela dei dati personali deve essere organizzata fin dalla base di raccolta delle informazioni e quindi prevedendo meccanismi di protezione ex-ante e durante tutto il ciclo di vita.
  •          Privacy by default significa che occorrerà prevenire raccolte di dati non necessari, a seconda della finalità che si persegue, evitando l’acquisizione di informazioni eccedenti rispetto agli obiettivi dichiarati nell'informativa.

Il fulcro di questo nuovo regolamento starà nel fatto che, la privacy cesserà di essere un requisito legale e diventerà un elemento intrinseco del processo di gestione delle informazioni.

Un cambiamento che è possibile definire mentale e culturale piuttosto che sostanziale, che richiederà di abbandonare fretta e approssimazione nel gestire le informazioni, per far posto ad un modo di agire fatto di rigore, metodo e organizzazione.