A breve entrerà in vigore il nuovo Regolamento Europeo in materia di Privacy e Protezione dei Dati Personali che andrà a sostituire la direttiva 95/46/CE ed uniformerà la tematica all’interno degli Stati Membri.

Trattandosi di Regolamento sarà un intervento normativo direttamente applicabile, non necessitando il recepimento da parte degli Stati membri.

Tra le novità di maggiore rilievo evidenzio alcuni aspetti:
Ambito di applicazione della norma che si estende oltre i confini UE, se relativi all’offerta di beni o sevizi a cittadini UE.
Attuazione del principio della Privacy by design. Già nella fase progettuale di un sistema di gestione dell’informazione, devono prevedersi soluzioni in grado di garantire il trattamento dei soli dati personali necessari per ciascuna finalità specifica e , dove possibile, la loro cancellazione o la resa in forma anonima.

Saranno necessarie valutazioni preliminari sulle procedure aziendali utilizzate per il trattamento con le c.d. valutazioni d'impatto sulla protezione dei dati personali. Per contro non vi sarà più obbligo di notificazione all'Autorità, come semplificazione delle attività d'impresa.

Diritto all’oblio: sarà garantito ad ogni soggetto privato, per motivi legittimi, la possibilità di richiedere la cancellazione dei propri dati in possesso di terzi o il loro trasferimento. 

Istituzione della figura del Privacy Officer per le aziende per gli Enti Pubblici. Questa figura professionale avrà un incarico della durata di 4 anni e la sua nomina dovrà essere certificata e tracciata.

La proposta di Regolamento prevede che il consenso al trattamento debba essere manifestato in maniera esplicita. Quindi l’accettazione passiva del trattamento dei dati non costituisce forma di consenso valida. Comparirà una più severa disciplina sull’ opt-in  (il consenso preventivo dell’utente) per i cookies pubblicitari online, utilizzati da social network e motori di ricerca per conoscere i comportamenti degli utenti da sfruttare in operazioni di marketing.

Diritto alla portabilità dei dati personali: l’interessato potrà esigere, per esempio, da un fornitore di servizi cloud di rubrica on line la rapida e facile esportabilità dei propri dati personali in un formato compatibile con i sistemi di altri cloud service providers. Più in generale, quindi, l’interessato avrà diritto alla massima trasparenza e ad essere debitamente informato su ogni trattamento dei propri dati personali.

Con l’obbligo di conservazione di documenti informativi sulla tracciabilità del trattamento dei dati si reintegra in sostanza un iter che descrive regole e procedure di gestione delle banche dati il c.d. Privacy Booking con molti aspetti comuni al Documento Programmatico della Sicurezza previsto dal D Lgs 196/03.

L’obbligo di notifica (data breach) in caso di danneggiamento, furto o perdita totale/parziale di un dato personale sancirà per l’Azienda l’onere di comunicare tempestivamente all'interessato l'accaduto ed in taluni casi la notifica all'Autorità Garante.