Il 25 maggio 2018 troverà applicazione il Regolamento europeo n. 679/2016 cd. GDPR –  General Data Protection Regulation. Tale norma andrà ad abrogare la precedente direttiva 95/46 che ha portato in Italia all’adozione del d.lgs 30 giugno 2003 n. 196 cd. Codice Privacy. Il Codice Privacy non sarà abrogato, ma subirà una rilettura in chiave GDPR. Cosa cambia? E soprattutto come adeguarsi?

Il punto principale del GDPR è l’introduzione di una serie di nuovi principi, che rivoluzionano l’intero sistema privacy. I principali, da noi individuati, sono 3:

• Accountability: in italiano letteralmente “responsabilizzazione”. Tale principio rappresenta una novità assoluta per quanto riguarda la protezione dei dati personali. Ciò che dovranno porre in essere i titolari del trattamento sarà l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. In base a ciò, quindi, saranno i titolari stessi a decidere autonomamente le garanzie e i limiti del trattamento dei dati personali alla luce del regolamento purché dimostrino la sua applicazione.

• Privacy by design: il principio di privacy by design, contenuto nell’art. 25 al primo comma, pone, oltre alla tutela della privacy, la protezione degli utenti al centro di ogni progetto, in base ad un approccio cd. User-centric. Secondo tale indicazione, infatti, nella fase di progettazione e, appunto, design, si dovrà necessariamente tenere conto della tutela della privacy degli utenti. Non si potrà fare una valutazione ex post, ma bisognerà dimostrare di aver fatto una valutazione ex ante di tutti i rischi e delle metodologie adottate per minimizzarli.

• Privacy by default: tale principio, contenuto nell’ l’art. 25 co.2 del regolamento, prevede che le impostazioni di tutela dei dati personali relativi a prodotti e servizi rispettino i principi generali della protezione della privacy; la minimizzazione dei dati; la limitazione delle finalità. La privacy by default, in sostanza, garantisce che siano trattati di default solo i dati personali necessari per ciascuna finalità e che la quantità di dati raccolti ed il tempo della loro conservazione non vada oltre lo stretto necessario per perseguirle. Il default setting dovrà essere impostato, quindi, secondo il principio del would have wanted standard, cioè ciò che un utente ben informato sceglierebbe. Nel caso della privacy le impostazioni di default saranno impostate sulla soluzione più favorevole alla parte debole. Sarà la parte più informata a dover indurre e “convincere” la parte meno informata a mutare la situazione di default. Per adeguare i procedimenti aziendali alla nuova normativa, bisognerà fare un’analisi sulle modalità trattamento e conservazione dei dati personali adoperate fin ora ed adattarle alla nuova disciplina. Tutto ciò in modo da evitare le pesanti sanzioni previste dalla disciplina europea, che ricordiamo possono arrivare fino al 4% del fatturato globale della società.