Il regolamento generale sulla protezione dei dati, in inglese General Data Protection Regulation, ufficialmente regolamento UE n. 2016/679, noto con la sigla GDPR, si occupa del trattamento dei dati personali e di privacy. Il testo, adottato il 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, ha iniziato ad avere definitivamente efficacia il 25 maggio 2018. Tutte le disposizioni del D. Lgs. 196/2003 ritenute incompatibili con le disposizioni del nuovo regolamento saranno annullate. Con questo regolamento, la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione europea, sia all’interno che all’esterno dei confini dell’UE. Il testo affronta anche il tema dell’esportazione di dati personali al di fuori dell’Unione europea e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dalla stessa) che trattano dati di residenti nell’Unione europea ad osservare e adempiere agli obblighi previsti. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l’UE. Le aziende, per soddisfare i propri requisiti di responsabilità, devono dimostrare di essere conformi ai principi del GDPR. Tale conformità è da valutarsi, ad esempio, sul sistema di protezione dati, sulle politiche, sulla formazione del personale, sugli audit interni relativi al trattamento dati e sulle politiche delle risorse umane. Altrettanto utile ai fini della validazione della conformità è la presenza di misure di protezione dati previste già in fase progettuale e predefinite nei processi.Tutte le aziende con più di 250 dipendenti dovranno tenere registrazioni delle attività di trattamento dati, inoltre quelle con meno di 250 dipendenti dovranno anche registrare le proprie attività di trattamento dati nelle situazioni di maggior rischio , come l’utilizzo dei dati che potrebbe nuocere i diritti e le libertà degli individui appartenenti a categorie speciali o condanne penali. Il Regolamento prevede la trascrizione in un apposito registro delle seguenti misure: finalità del trattamento, descrizione dei dati dei soggetti interessati,delle categorie di destinatari cui è prevista la comunicazione delle misure di sicurezza attuate per la protezione dei dati, tempi di conservazione. Il nuovo regolamento europeo in materia di protezione dei dati personali ha introdotto la presenza di una nuova figura in azienda, il Data Protection Officer (DPO) o Responsabile per la Protezione dei Dati (RPD). Tale figura era già presente, in realtà, all’interno della direttiva europea 95/46 come “privacy officer”. Il ruolo del DPO è di tutelare i dati personali adempiendo alle proprie funzioni in piena autonomia ed indipendenza, in assenza di conflitti di interesse, soprattutto quando si gestiscono monitoraggi su larga scala. Si tratta di un consulente esperto che affianca il titolare nella gestione e protezione dei dati personali, aggiornandosi su rischi, normativa e misure di sicurezza. Il DPO può essere un dipendente o una persona esterna che deve essere, però, nominata anche responsabile del trattamento in modo da avere accesso ai dati. Il DPO può essere una persona fisica o un’organizzazione e può tranquillamente essere nominato per un gruppo di imprese al fine di abbattere i costi. Come previsto dall’art.37 il titolare o il responsabile del trattamento devono designare, utilizzando un apposito contratto, il DPO e comunicarlo all’Autorità di controllo nazionale. La designazione è obbligatoria nei seguenti casi: per amministrazioni ed enti pubblici, ma anche per organismi privati incaricati dello svolgimento di funzioni pubbliche o che svolgono pubblici poteri; in caso di attività principale svolta dal titolare o dal responsabile del trattamento consistente nel trattamento di dati che richiedono il controllo regolare e sistematico degli interessati su larga scala; infine se la principale attività consiste nel trattamento su larga scala di dati sensibili genetici, giudiziari, biometrici e relativi a salute e vita sessuale.