Il Regolamento Europeo n. 2016/679 in materia di protezione dei dati personali (il cosiddetto “GDPR”), già applicabile in via diretta in tutti i Paesi dell’Unione Europea e che sarà obbligatorio a partire dal 25 maggio 2018, richiede a tutte le imprese, studi professionali e pubbliche amministrazioni, l’adozione di misure organizzative e tecniche specifiche in materia di privacy.

Il GDPR abroga la precedente Direttiva Europea 95/46/CE, attuata in Italia con il D.Lgs n. 196 del 30 giugno 2003 (“Codice Privacy”), introducendo una vera e propria rivoluzione degli adempimenti privacy per tutte le imprese e gli istituti finanziari che offrono i propri servizi in Europa.

La protezione dei dati personali è un tema senz’altro rilevante per Banche, Intermediari finanziari, Assicurazioni, posta l’irrinunciabile esigenza di garantire la capacità di assicurare la riservatezza e la sicurezza dei dati e delle informazioni. Lo stesso Garante per la protezione dei dati personali italiano è intervenuto a dettare regole ad hoc per il trattamento dei dati personali nell’ambito di settori economici dei servizi finanziari e assicurativi. Tuttavia, il quadro attuale è destinato a cambiare sensibilmente nel breve periodo per effetto delle disposizioni del GDPR.

Il Garante italiano ha ritenuto opportuno offrire delle indicazioni al fine di facilitare l’applicazione delle nuove Disposizioni ed ha pubblicato la “Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali” e così supportare i soggetti pubblici e privati in questo delicato periodo di transizione alla nuova normativa privacy (per utilità si indica di seguito il relativo link: http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali).

L’aspetto più significativo, oltre il superamento della frammentazione normativa, è sicuramente il nuovo approccio della “responsabilizzazione” (accountability in inglese) di titolari e responsabili del trattamento– ossia, sull\’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l\’applicazione del regolamento. Il GDPR, infatti, non definisce requisiti specifici ma sposta la responsabilità, al titolare o responsabile del trattamento, di definire le misure di sicurezza idonee a garantire la corretta gestione dei dati personali trattati, dopo un’attenta analisi dei rischi.  Dunque non ci saranno più misure minime, ma solo misure di sicurezza ed organizzative adeguate.