Se prima la privacy era un elemento conclusivo e finale, ora diventa un elemento da considerare all’inizio del processo: fin dalla fase di progettazione l’azienda dovrà effettuare la valutazione del trattamento dei dati che intende avviare e adottare tutte quelle misure che consentono di operare in linea con la normativa di riferimento.
Per talune realtà aziendali e in alcuni casi, il rispetto del principio della privacy by design può significare l’obbligo di un Registro dei trattamenti, l’Analisi del rischio e la Valutazione d’Impatto sulla protezione dei dati personali.
Diversamente, con il concetto di privacy by default si sottolinea la necessità di tutelare la vita privata dei cittadini: “di default”, ossia come impostazione predefinita. Si prevede quindi che le impostazioni di tutela della vita privata rispettino i principi generali della protezione dei dati, quali la minimizzazione degli stessi e la limitazione delle finalità; ossia non potranno essere trattati dati personali ulteriori rispetto a quelli minimi indispensabili per ogni specifica finalità e i dati raccolti non potranno essere conservati per tempi ulteriori rispetto a quelli minimi necessari.
Accanto alle figure chiave del titolare del trattamento (colui che determina le finalità e i mezzi con cui trattare i dati) e del responsabile del trattamento (colui che, in forza di un contratto, tratta i dati personali per conto del titolare), il Regolamento EU disciplina anche l’istituzione di una nuova figura, il Data Protection Officer (DPO) – in italiano, il Responsabile della Protezione dei Dati – che, nelle aziende in cui è obbligatoriamente previsto, affiancherà come esperto, interno o esterno all’azienda, il titolare e sarà il tramite tra l’azienda e l’Autorità Garante.
Una delle ulteriori novità introdotte dalla normativa consiste nell’obbligo di comunicare al Garante i casi di Data Breach, ovvero, tutte le violazioni della sicurezza informatica in grado di comportare la perdita, distruzione o diffusione indebita dei dati personali trattati.
Non da meno, il Regolamento introduce sanzioni elevate.
Infine, per la prima volta, si predispone un regime di tutela speciale per i dati personali dei minori, in particolare per quanto riguarda la raccolta e il loro utilizzo a fini di marketing o di profilazione. Se un’azienda fornisce servizi online a minori dovrà realizzare sistemi precisi per la verifica dell’identità e pensare a come ottenere il consenso di un genitore o di un tutore per trattare i dati in modo legale.
__________________________________________________________________________________
* Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 è entrato in vigore il 25 maggio del 2016 e inizia ad avere efficacia il 25 maggio 2018.