Il General Data Protection Regulation (in seguito anche “GDPR” o “Regolamento”) è il Regolamento (UE) 2016/679 che modifica ed uniforma tutta la normativa “privacy” (dataprotection) della intera Comunità Europea; esso è direttamente applicabile e vincolante in tutti gli Stati membri e non richiede una legge di recepimento nazionale.
Il Regolamento è entrato in vigore il 24 maggio 2016, ed ha avuto piena applicazione a partire dal 25 maggio 2018; attualmente è rimasto in vigore anche il previgente D.Lgs.196/03 (rivisto con specifico decreto legislativo per eliminare le parti in contrasto con il Regolamento Europeo)
Il GDPR rappresenta un ulteriore passo per la tutela della dignità dei cittadini europei, nel contesto di una rapida evoluzione tecnologica che pone il dato personale – ed i servizi digitali ad esso correlati – al centro del business delle grandi imprese di Internet (ma non solo).
L’obiettivo che il Regolamento si pone è principalmente quello di incrementare le tutele ai diritti fondamentali dei cittadini europei, creando regole uniformi tra i Paesi membri. Si tratta di un cambio di passo fondamentale, che richiede necessariamente una nuova gestione proattiva della sicurezza dei dati (non più reattiva come in precedenza), permeando tutti processi aziendali che trattano dati; tra le righe del nuovo testo traspare l’auspicio del legislatore europeo che la tutela dei dati personali diventi un leitmotiv delle organizzazioni.
Il regolamento GDPR:
- sposta il “focus” dalla tutela del dato personale alla tutela di tutta l’infrastruttura di trattamento;
- impone alle organizzazioni una raccolta e un utilizzo più trasparente dei dati personali, allineato alla normativa fin dalla progettazione (Data Protection by Design-Default);
- introduce regole più chiare in merito alla informativa da fornire ed al consenso da ottenere, stabilendo precisi limiti al trattamento automatico dei dati;
- richiede processi più consapevoli ed accorti sulla gestione e conservazione dei dati, regolando rigorosamente anche il trasferimento e l’interscambio con paesi extra-UE;
- obbliga le organizzazioni a rivalutare le attuali “infrastrutture di trattamento di dati personali” in ottica GDPR e ad effettuare migliori e frequenti controlli nell’ottica di prevenire eventuali violazioni e data-breaches.
Il Regolamento si applica a tutte le organizzazioni con sede in Europa, ma anche a tutte quelle con sede legale extra UE che trattano dati di soggetti residenti in Europa; questo nuovo concetto di “extra-territorialità” si basa su una ratio chiara: i dati personali dei soggetti europei non possono essere trattati con regole diverse in base alla localizzazione geografica delle organizzazioni che li trattano; in questo senso, il GDPR ha forte rilevanza sulle grandi organizzazioni internet che trattano dati personali di milioni di persone (come per esempio Amazon, Google, FaceBook, Apple, Microsoft, eBay ed altri).
Inoltre, traspare chiaramente nelle intenzioni del legislatore la necessità – per ogni titolare del trattamento – di affrancarsi dalla precedente impostazione passiva, divenendo soggetto (pro)attivo avente una visione strategica dei trattamenti svolti, del livello di rischio al quale soggiacciono, delle misure di protezione da adottare – in modalità dinamica e non statica- e dei controlli costanti da attuare per valutare se quanto messo in campo sia adeguato al mutevole contesto cyber.