Il GDPR (General Data Protection Regulation) porta con sé novità sostanziali che sono destinate a mutare la gestione complessiva della materia, vediamo quali sono i principali aggiornamenti.
Tutte le aziende titolari del trattamento dei dati sono obbligate a creare un registro delle attività svolte e di compiere una valutazione d'impatto sulla protezione dei dati.
La nuova figura del Data Protection Officer (DPO), dovrà essere obbligatoriamente presente all'interno delle aziende pubbliche e in tutte quelle dove il trattamento dei dati presenti specifichi rischi. Saranno coinvolte le aziende con più di 250 dipendenti e quelle dove il trattamento dei dati possa presentare un rischio per i diritti e le libertà dell'interessato.
Tra le novità anche il diritto all'oblio, ovvero la possibilità da parte dell'interessato di richiedere che i propri dati personali siano cancellati e non più sottoposti a trattamento e la portabilità dei dati, la libertà di trasferire i propri dati da un prestatore di servizi a un altro, senza impedimenti. Precisamente, nel caso in cui i dati personali siano stati raccolti per finalità o tipologie di trattamento per le quali il consenso non è richiesto, gli interessati potranno ottenere la cancellazione solo nel momento in cui i dati non siano più necessari rispetto alle finalità per le quali sono stati raccolti.
L'obbligo di comunicazione al Garante dell'avvenuta violazione dei dati personali sarà oggetto della nuova regolazione in materia di Data Breach e verrà esteso a tutti i titolari e responsabili dei dati.
Per i trattamenti che prevedono l'utilizzo di nuove tecnologie sarà obbligatorio la Valutazione d'impatto sulla protezione dei dati (DPIA), ovvero una valutazione degli aspetti personali relativi a persone fisiche basato su un trattamento su larga scala.
Maggiore attenzione dovrà essere data pertanto sia alle informative, al consenso e alle modalità di trattamento dei dati, sia alle eventuali richieste dei soggetti a cui i dati si riferiscono.
Le nuove disposizioni dovranno essere adottate considerando un impegno progettuale costante in materia di Privacy.
In termini teorici, la progettazione dovrà seguire i concetti di "Accountability", ogni impresa deve essere in grado di dimostrare di aver fatto quanto richiesto per mettere in sicurezza i dati personali, di "Privacy by design", tutti i sistemi di trattamento dei dati devono essere progettati nel rispetto della normativa e non solo usati in quel modo e di "Privacy by default", il sistema deve prevedere specifiche tecniche che devono in automatico prevenire eventuali violazioni.
Il GDPR non sostituisce ma integra l'attuale Codice della Privacy, abrogando solo le parti con esso non compatibili e riguarda tutte le aziende che, avendo uno stabilimento nell'Unione Europea, trattano dati personali indipendentemente dal fatto che il trattamento sia effettuato nell'UE stessa.