Il 24 maggio 2016 è entrato in vigore il nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 2016/679 (il cosiddetto GDPR) che diventerà definitivamente applicabile in via diretta in tutti i Paesi membri a partire dal 25 maggio 2018, ovvero, sin da oggi si è tenuti ad uniformarsi ben consci che dal 26 maggio 2018 potranno iniziare ad essere comminate le relative sanzioni laddove non si sia conformi (nel peggiore dei casi fino a 20.000.000 euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente).
Il Regolamento porta con sé elementi di semplificazione ma anche ulteriori oneri:
- nuovi ruoli aziendali connessi alla protezione dei dati personali (data controller ossia il “titolare” e data processor ossia il “responsabile”) con responsabilità dirette di fronte alla Legge di ciascuna figura per inadempienza al regolamento;
- una nuova figura di indirizzo e controllo chiamata Data Protection Officer (DPO) che va ad estendere ed ampliare il concetto di “Amministratore di Sistema”;
- La proceduralizzazione della gestione del rischio e delle correlate misure di sicurezza (Privacy Impact Assessment) ossia non possiamo più limitarci ad applicare soltanto le “misure minime di sicurezza” dell’allegato B) al D.Lgs. 196/2003;
- la comunicazione al Garante e agli Interessati della violazione dei dati personali (data breach);
- la security in fase di progettazione dei sistemi che trattano dati personali (Privacy by design & Privacy by default).
Massima attenzione dunque alla compliance con quanto sopra per tutte quelle startup che volessero pensare di erogare servizi nei quali si renda necessario gestire le informazioni del privato cittadino.