Il 25 Maggio 2018 è entrato in vigore il Regolamento UE 2016/679 conosciuto come GDPR, acronimo di General Data ProtectionRegulation il cui obiettivo è la protezione dei dati delle persone fisiche anche rispetto al trattamento e alla libera circolazione dei dati personali.  

Cambia la metodologia ed il campo di applicazione adesso è europeo dobbiamo quindi confrontarci con un approccio nuovo che viene riconosciuto con due denominazioni: Privacy by design e Privacy by default. La cosiddetta Privacy by design implica la proattività dell’azienda e non la sua reattività rispetto a una norma fissa o a un codice.

Occorre prevedere modalità operative, configurazioni e misure di sicurezza per garantire la riservatezza e l’integrità dei dati personali by default, ovvero con una pratica certa dal momento in cui i dati personali entrano all’interno della struttura organizzativa ‐ fino dal momento della progettazione di un nuovo servizio o prodotto, terminando l’utilità con la loro distruzione.

Si può comprendere come, rispetto alla precedente normativa nazionale, non si parli prevalentemente di prassi legale e burocratica ma di una modalità che fa riferimento a due elementi principali:  

  • il controllo di processi e procedure aziendali riferiti ai dati personali 
  • le tecnologie, in continua evoluzione, utili alla loro salvaguardia.

Tali concetti sono rafforzati da un ulteriore principio ispiratore del Regolamento: l’accountability ovvero la responsabilizzazione di Titolari e Responsabili del trattamento che devono adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurarne l’applicazione. Quindi è rilasciata totale flessibilità nella scelta delle modalità operative.

L’importante è raggiungere il risultato di riduzione massima dei rischi nel trattamento dei dati personali dandone evidenza con la documentazione e la dimostrazione delle attività svolte da mettere a disposizione degli organi che controlleranno l’applicazione della normativa (I Garanti nazionali sono trasformati in organi di controllo).

La privacy è un termine inglese traducibile all'incirca con riservatezza, è il diritto alla riservatezza delle informazioni personali e della propria vita privata: the right to be let alone (lett. "il diritto di essere lasciati in pace"), secondo la formulazione del giurista statunitense Louis Brandeis che fu probabilmente il primo al mondo a formulare una legge sulla riservatezza.

In realtà comunemente per privacy si intende il diritto della persona di impedire che le informazioni che la riguardano vengano trattate da altri, a meno che il soggetto non abbia volontariamente prestato il proprio consenso.

Con l’introduzione dei primi strumenti tecnologici gli studiosi si sono posti il problema della necessità o meno di una specifica tutela avuto riguardo al rapporto tra “riservatezza-computer”; l’impiego dell’elaboratore elettronico, infatti, consente di impadronirsi ed archiviare informazioni che riguardano l’individuo, comprese quelle della sua vita privata sottoponendolo, così, ad una nuova forma di dominio, che si potrebbe chiamare “il potere informatico".

Il “right to privacy” ha quindi acquistato un nuovo significato ed una nuova ampiezza, che non poteva avere un secolo fa: questo ora consiste nel diritto, riconosciuto al cittadino, di esercitare anche un controllo sull’uso dei propri dati personali inseriti in un archivio elettronico.

Il diritto alla riservatezza, per effetto della nuova dimensione acquisita, non viene, infatti, più inteso in un senso puramente negativo, come facoltà di ripulsa delle intromissioni di estranei nella vita privata, o di rifiutare il consenso alla diffusione di informazioni sul proprio conto, di rinuncia alla partecipazione nella vita sociale;  ma in senso positivo, come affermazione della  libertà e dignità della persona, e come potere di limitare il potere informatico, controllandone i mezzi ed i fini.