Il Decreto Legislativo n. 101 del 10 agosto 2018, più noto come Gdpr, è legge e da oggi - 19 settembre - è in vigore. Ciò significa che ogni pubblica amministrazione, ente o società di servizi, impresa o struttura di ricerca e di studio, è tenuta a dare piena e integrale applicazione a tutta la normativa. Il Decreto reca le disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché' alla libera circolazione di tali dati e abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). 

In particolare, la General Data Protection Regulation emana nuove regole a favore della privacy dei cittadini (regole più chiare su informativa e consenso) e delle aziende che dovranno adeguarsi alle nuove disposizioni dell’Unione Europea, prima fra tutte l’adozione del registro del trattamento dei dati personali che deve sempre essere autorizzato dall’interessato. 

Fra gli obblighi per le imprese c’è quello di fornire sempre all’interessato un’adeguata informativa sul trattamento dei dati, che comprende:

• identità e dati di contatto del titolare del trattamento, del suo rappresentante, del DPO (il Responsabile della protezione dei dati o Data Protection Officer);
• l’informazione sulle finalità del trattamento con indicazione della base giuridica del trattamento;
• quali sono i legittimi interessi che eventualmente rappresentano la base giuridica del trattamento;
• i destinatari dei dati;
• l’intenzione di trasferire dati personali a un paese terzo o a un’organizzazione internazionale;
• il periodo di conservazione dei dati;
• il diritto dell’interessato all’accesso, alla correzione o alla cancellazione, a presentare reclami all’autorità di controllo;
•  l’esistenza di processi automatizzati.

Per quanto riguarda il DPO, Responsabile della protezione dei dati personali, si tratta di una persona con una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati. Non è un obbligo per tutte le aziende. Questa nuova figura professionale è obbligatoria in tutte le realtà imprenditoriali e solo in tre casi deve essere nominata per legge:

• quando il trattamento dei dati è gestito da un ente pubblico;
• quando l’azienda basa le proprie attività principali sul monitoraggio continuo e sistematico dei soggetti profilati;
• quando le realtà imprenditoriali o le associazioni impiegano su larga scala dati personali, particolari tipologie di dati sensibili riferite a situazioni economiche o patrimoniali e informazioni relative alla situazione giuridica dei soggetti.

La mancata applicazione o il ritardo nell’adeguamento alle disposizioni del decreto comporta sanzioni a carico delle aziende fino a 20 milioni di euro o il 4% del fatturato globale delle aziende.