Il 25 maggio 2018 entrerà in vigore il nuovo regolamento sulla data protection.
La prima caratteristica è che non si parla di una legge o di un decreto legislativo per loro natura suscettibili di deroghe o proroghe.
Si sta parlando di un regolamento europeo già approvato e che AUTOMATICAMENTE entrerà in vigore a partire dal 25 maggio 2018.
La seconda è che il regolamento non riguarderà solo la privacy ma la data protection nella sua accezione più ampia.
Tanto per essere pragmatici quello che molte aziende hanno fatto nel 2003 all’entrata in vigore del D.lgs. n. 196/2003 non si potrà più fare.
Non si tratterà di fare un DPS (Documento Programmatico sulla Sicurezza, abrogato con la conversione in legge del D.L. 9-2-2012 n. 5) più o meno corrispondente a quello che si sarebbe dovuto fare in merito alla salvaguardia dei dati che si gestiscono all’interno dell’azienda.
Si dovranno obbligatoriamente governare tutti i processi aziendali in cui vengono “trattati i dati”: raccolta, conservazione, elaborazione, comunicazione, diffusione…
Inoltre introduce una serie di novità di rilievo rispetto all’attuale normativa.
Ne ricordiamo alcune:
Le misure di sicurezza passano da “minime” ad “adeguate” il che presuppone l’obbligo per le aziende di andare a definire un documento denominato Privacy Impact Assessment nel quale tutti i rischi dovranno essere prevenuti con specifiche azioni
Viene introdotta la figura del DPO (Data Protection Officer) che sarà obbligatoria per alcune tipologie di aziende. Ad esempio lo sarà per chi effettua la profilazione a carattere commerciale
Vengono inasprite le sanzioni che arriveranno fino al 4% del fatturato ed ovviamente permarranno i reati penali.