La privacy rimanda ad un sistema normativo e regolamentare teso a tutelare e proteggere dati personali e/o sensibili. L’applicazione della privacy attiene pertanto ad un principio etico ma anche ad un obbligo giuridico. In Italia da vent’anni è funzionante un’Autorità garante per la protezione dei dati personali e sono state varate successive norme, fino a testo unico adottato con un Decreto Legislativo del 2003, il n. 196.
Il 4 maggio 2016 è stato pubblicato il Regolamento dell’Unione Europea n. 2016/679 sulla protezione dei dati personali e la libera circolazione dei dati personali, che si applicherà a partire dal 25 maggio 2018. Essendo un regolamento e non una direttiva, non dovrà essere recepito dalle legislazioni nazionali ma sarà direttamente applicabile.
L’Autorità garante emana inoltre chiarimenti, provvedimenti attuativi ed esplicativi, linee guida ecc., oltre a svolgere funzioni ispettive e di controllo.
Oltre ad un impianto normativo generale, valido e applicabile quindi ad ogni tipo di organizzazione, specifiche previsioni normative sono previste per particolari tipologie di dati, quali ad esempio i dati sanitari, i dati giudiziari, nonché rispetto a specifiche misure da adottare per il trattamento dei dati digitali ecc.
Nell’ottica dell’applicazione del nuovo standard UNI EN ISO 9001:2015, la corretta gestione privacy rientra tra le azioni di sistema relative alla gestione del rischio.