Anche se la sigla non vi dirà nulla, sicuramente vi siete imbattuti nelle prime conseguenze del GDPR. Da giorni state ricevendo email che vi chiedono di rinnovare il consenso all’iscrizione a una newsletter di cui non avete memoria, avvisi che dicono che non dovete fare nulla se volete continuare a ricevere quegli stessi avvisi, comunicazioni in inglese che cercano di catturare la vostra attenzione con fare talvolta ironico. Sono i primi esiti dell’entrata in vigore del nuovo Regolamento europeo sulla protezione dei dati personali, il GDPR appunto (General Data Protection Regulation) che si applica da oggi.

Non è un affare da poco. Il Regolamento Ue sulla protezione dei dati personali è la nuova disciplina che uniforma le regole sulla privacy in tutti i Paesi dell’Unione e rappresenta – spiega il Garante privacy italiano in una nota – “la più grande riforma in questo settore da un quarto di secolo a questa parte”. Il nuovo regolamento stabilisce e disciplina il diritto alla trasparenza nell’uso dei dati, il diritto di accesso, il diritto all’oblio e a alla portabilità dei dati. Comporta maggiori responsabilità per enti e imprese che fanno ricorso a dati personali. E prevede sanzioni più severe per chi non rispetta la regole, anche al di fuori dei confini europei. Il Regolamento si applica infatti anche a chi tratta dalla Ue i dati di cittadini europei, dunque anche ai colossi del web come Google, Facebook, Microsoft, Twitter.

“Cambia in maniera radicale l’approccio alla protezione dei dati”, spiega il Garante privacy italiano, che ha pubblicato online una pagina dedicata alle nuove norme. “Il Regolamento adegua il quadro normativo al nuovo contesto sociale ed economico – caratterizzato da un incessante sviluppo tecnologico e da forme sempre più massicce e pervasive di scambio e sfruttamento di dati – rafforzando le tutele poste a salvaguardia dei dati personali e i diritti degli individui”. Imprese ed enti dovranno operare seguendo il principio di responsabilizzazione (“accountability”), considerare la protezione dei dati non come obbligo formale, ma come una parte integrante e permanente delle loro attività e promuovere consapevolezza negli utenti sui loro diritti e le loro libertà.

La prima novità fondamentale del Regolamento – prosegue il Garante – è quella di essere integralmente applicabile alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone presenti nel territorio dell’Unione europea o ne monitorano il comportamento. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell’Ue.

Nel GDPR vengono riconosciuti e disciplinati i diritti legati all’uso dei dati.“Ogni utente – spiega il Garante – avrà il diritto di ricevere informazioni chiare sull’uso che viene fatto dei suoi dati personali, potrà trasferirli da un titolare del trattamento ad un altro, compresi i social network (“diritto alla portabilità dei dati”), e vedrà rafforzato il suo diritto di far cancellare, anche on line, le informazioni non più necessarie rispetto alle finalità per le quali sono state raccolte (“diritto all’oblio”)”. Imprese ed enti dovranno rispettare “i principi della ‘privacy by design’ e della ‘privacy by default’: dovranno inserire cioè garanzie a favore degli utenti dalla progettazione di ogni trattamento e di ogni prodotto o servizio che comporti il trattamento di dati personali”.

Il consenso all’uso dei dati dovrà essere ancora più specifico per ogni servizio reso, chiaro ed esplicito. Chi tratta dati avrà l’obbligo di informare le Autorità garanti, e nei casi più gravi gli stessi interessati, in caso si verifichino furti, diffusione illecita o perdite di dati (“data breach“).

Altra innovazione è la figura del Responsabile della protezione dei dati (RPD) che dovrà operare all’interno di tutte le amministrazioni pubbliche e di quelle imprese che fanno particolari trattamenti di dati o usano particolari categorie di dati, offrendo consulenza e supporto al proprio titolare o responsabile del trattamento. Le sanzioni per chi non rispetta le regole potranno arrivare fino al 4 per cento del fatturato globale annuo. E tutte le Autorità di protezione dati dei Paesi Ue, alle quali è affidato il compito di vigilare sull’attuazione del Regolamento, avranno gli stessi poteri e gli stessi compiti, a garanzia ulteriore di un’applicazione uniforme nell’intera Unione.