Il 25 maggio 2016 l’Unione Europea ha approvato la nuova Normativa sulla Privacy 2016/679, più comunemente definita GDPR (General Data Protection Regulation). La norma europea istituisce nuove regole per le organizzazioni che detengono e trattano dati di persone fisiche residenti nella comunità europea, indipendentemente dal luogo in cui si trovano. Il Regolamento è in vigore in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
Il regolamento conferma che ogni trattamento di dati personali deve trovare fondamento in un’idonea base giuridica; i titolari del trattamento dei dati sono tenuti a seguire un percorso di adeguamento alle norme, nel rispetto dei fondamenti di liceità del trattamento, che coincidono, in linea di massima, con quelli già previsti dal Codice privacy d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, obblighi di legge cui è soggetto il titolare, ecc.).
 

Il titolare deve sempre poter dimostrare che è stato fatto tutto il possibile per evitare e prevenire la diffusione non autorizzata di informazioni sensibili, fino anche all’autodenuncia se dovessero verificarsi violazioni o furti di archivi contenenti dati sensibili.
Dal momento in cui si raccolgono dati personali, la loro protezione e l’uso per il quale si raccolgono le informazioni devono essere dichiarate ed organizzate in modo chiaro; non sarà possibile raccogliere o gestire dati senza specificarne la finalità.
Sanzioni: fino a 20 milioni di euro o fino al 4% del fatturato, comminate dall’autorità garante della privacy, e controlli da parte di Guardia di Finanza e tutte le forze di polizia.