Il 25 maggio 2018 è prevista una piccola-grande rivoluzione nell’ambito del trattamento dei dati personali. Quel giorno sarà completamente operativo, anche in Italia, il GDPR 2018, che letteralmente sta per “General Data Protection Regulation”, in pratica il nuovo Codice della privacy. Un testo studiato e voluto da tutti gli Stati Membri dell’Unione Europea che presenta alcune importanti novità. Tra questi il concetto di “data protection by design”, il principio di “accountability”, e la designazione del Data Protection Officer da parte del responsabile e del titolare del trattamento.
Con il primo punto si intende la “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” (o anche conosciuta come Data Protection by Design and by Default). L’articolo 25 GDPR 2018, infatti, illustra il principio Privacy by Design e by Default, in quanto obbligo generale e prescrive: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, il titolare del trattamento “mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati”. Nell’ambito della Privacy by Design e by Default, dunque, il titolare del trattamento deve assicurarsi di mettere in atto “misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”.
Tra le numerose novità introdotte dal regolamento, poi, c’è il principio di “responsabilizzazione”, che diventerà centrale per aziende e pubbliche amministrazioni. Secondo il Principio dell’Accountability (o principio di responsabilizzazione), i titolari del trattamento dovranno sempre assicurare il rispetto dei principi applicabili al trattamento dei dati personali. “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche”, si legge nel preambolo del GDPR 2018. Per questo motivo “non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
L’articolo 37 del testo, infine, specifica la designazione del DPO – Data Protection Officer, o in italiano: il Responsabile della protezione dei dati. In ciascun settore, dunque, il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati quando “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala” e quando “le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali”.