Il General Data Protection Regulation (GDPR) entrerà in vigore il 25 maggio 2018 e riguarderà tutte le aziende che vendono prodotti o erogano servizi a persone che si trovano sul territorio europeo.
In pratica questo regolamento nasce con l'obiettivo di alzare il grado di protezione e sicurezza nel trattamento dei dati dei propri clienti da parte delle aziende. In sostanza si chiede alle imprese di maneggiare con più cura e in maniera più corretta qualsiasi dato riguardante una persona che acquista un prodotto o un servizio. E' chiaro che l'esigenza di questa normativa nasca anche dai continui attacchi alla sicurezza informatica aziendale avvenuti nel corso degli ultimi anni.
Al fine di proteggere i dati dei propri clienti, le aziende dovranno mettere in pratica una serie di misure tra cui l'obbligo di criptare, cifrandoli, i dati personali dei clienti e di allertare, in un lasso di tempo massimo di 72 ore, l'Autorità garante per la protezione dei dati personali, qualora si dovesse ravvisare il rischio di un'avvenuta violazione della privacy.
Rispetto alle precedenti normative, il GDPR aggiunge tre nuove tipologie di dati da tutelare che vanno ad aggiungersi al già presente "dato personale". Si tratta dei "dati genetici" (tutte le informazioni ottenute mediante analisi biologiche, ad. es DNA), "dati biometrici" (ad es. immagine facciale che consente il riconoscimento dell'identità), "dati sulla salute" (ad es. informazioni sanitarie). Ciascuna di queste informazioni, ovviamente, potrà essere raccolta e detenuta solo previo un esplicito consenso del titolare dei dati.
Trattandosi di una norma europea, il GDPR costituirà un insieme di regole univoco per tutti gli stati membri, ognuno di questi dovrà costituire un'autorità sovrintendente indipendente. Le autorità di ogni paese collaboreranno tra loro per garantire un'attività univoca e integrata a livello europeo.
Il Data Protection Officer (il responsabile del trattamento dei dati) è una figura professionale che ciascuna azienda dovrà individuare. In capo a tale profilo ricadrà il compito di assicurarsi che l'azienda o l'ente stia rispettando i dettami del GDPR, facendo tutto ciò che le viene richiesto per tutelare i dati e la privacy dei propri clienti. Sarà proprio il Data Protection Officer a dover comunicare all'Autorità garante eventuali "data breaches", ovvero fughe di dati o potenziali violazioni della privacy.
In caso di violazioni, il GDPR inasprisce le sanzioni previste. In particolare, l'apparato sanzionatorio, prevede tre possibili decisioni: