L’Innovazione tecnologica è ottima, fino a quando non invade il territorio degli altri. L’Europa, con il Regolamento operativo per i 28 Paesi da Maggio dell’anno scorso (il GDPR – General Data Protection Regulation) ha messo in luce alcuni punti fondamentali, a partire da diritti e tutele, protezione e sicurezza dei dati, agli adempimenti per la compliance aziendale e alla figura del DPO – Data Protection Officer.
Le incombenze sono diverse, a partire dai dati tutelati, al registro dei trattamenti, alla sicurezza del trattamento dei dati, alle intrusioni e data breach, alla figura del Data Protection Officer, alla tutela dei diritti e a termini e sanzioni. Tra le incombenze maggiori per le aziende, il registro dei trattamenti viene disciplinato dall’articolo 30.
Il General Data Protection Regulation, il Regolamento UE 2016/679 noto come GDPR, non è altro che il risultato di alcuni anni di riflessioni, analisi e relativi adattamenti alla normativa in materia di trattamento dei dati personali.
I regolamenti sono fonti di diritto derivato e sono regolati dagli articoli artt. 288 ss., TFUE (Trattato sul Funzionamento dell’Unione Europea). L’art. 288 stabilisce, tra l’altro, la portata generale del Regolamento. Da un lato, il Regolamento crea una regola unica europea, dall’altro, la sua vincolatività non è così pervasiva. Infatti, il GDPR risulta in parte lacunoso e in alcuni casi lascia margine agli Stati membri per la definizione di talune regole. Tra i criteri di applicazione, vi è una parte di applicazione materiale (a indicare quali dati sono tutelati), in cui alcune aree sono escluse, e, inoltre, una parte di applicazione territoriale.
Un aspetto rilevante riguarda la Data Protection by default e by design. Si intende con by design un approccio di trattamento dei dati che impone alle aziende l’obbligo di introdurre sin dall’avvio di ogni progetto gli strumenti di protezione dati personali. Nel GDPR questo approccio può essere individuato nella valutazione di impatto, o DPIA – Data Protection Impact Assessment.
Si tratta solo di alcune delle regole che il GDPR prevede, rappresentando una piccola parte della materia rispetto al vasto campo di applicazione.