Ormai da diversi mesi è entrato in vigore il Regolamento (EU) n. 2016/679, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali e la libera circolazione di tali dati.
Detta normativa europea, che determina sostanziali cambiamenti in materia, diventerà direttamente applicabile agli Stati membri a partire del 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento in questione.
Ci limitiamo a riportare le modifiche più significative ed interessanti in ragione dei nuovi obblighi introdotti dal Regolamento europeo.
Si segnala in primo luogo l’introduzione della figura del Responsabile della protezione dei dati (Data Officer Protection), il cui compito sarà quello di vigilare all’interno dell’azienda sull’osservanza del Regolamento europeo, oltre che quello di porsi come punto di contatto tra i diversi soggetti coinvolti (interessati del trattamento, autorità di controllo, titolare del trattamento, responsabile del trattamento).
Ciò che appare di particolare rilievo è che in alcuni casi (esempio: quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico ed ove le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, etc.) secondo quanto riportato all’art. 37 del citato Regolamento, la designazione di tale figura risulterà addirittura obbligatoria.
Il Responsabile della protezione dei dati, in ragione dei propri compiti, dovrà pertanto essere un soggetto munito di adeguate competenze con riguardo la normativa e la prassi di gestione dei dati personali e potrà operare o come dipendente del titolare del trattamento ovvero in base a un contratto di servizi.
Alla luce di quanto sopra, tale figura non solo avrà rapporti diretti con i vertici aziendali, ma dovrà altresì esercitare le sue funzioni in piena indipendenza ed in assenza di conflitti di interesse.
Il nuovo Regolamento europeo incoraggia, inoltre, l’individuazione di best practice tecniche, l’adozione di codici di condotta nonché l’utilizzo dello strumento delle certificazioni per attenuare il rischio connesso al trattamento dei dati personali e contribuire alla propria corretta applicazione, in funzione delle specificità dei vari settori e delle esigenze specifiche delle imprese.
In tale contesto l’assunzione di codici di condotta risulterà di grande importanza, dal momento che il nuovo impianto normativo pone in capo al titolare e al responsabile del trattamento l’onere di provare di aver attuato tutte le misure organizzative e di sicurezza adeguate alla particolare tipologia di dati e di trattamento effettuato.
Ulteriori ed importanti modifiche riguardano:
- i limiti per il titolare di adottare decisioni che producono effetti giuridici (esempio concessione di un prestito) sulla base di una profilazione dell’utente[1];
- il diritto alla portabilità dei dati da un titolare del trattamento ad un altro;
- l’obbligo di comunicare i casi di violazione dei dati personali (data breach) entro 72 ore;
- l’istituzione del cosiddetto “sportello unico” (one stop shop) per la semplificazione della gestione dei trattamenti e l’uniformità dell’approccio al trattamento dei dati personali;
- la responsabilizzazione (accountability) dei titolari del trattamento per cui il titolare dovrà dimostrare l’adozione di politiche privacy e misure adeguate in conformità al Regolamento;
- introduce il principio della (privacy by design) (dal quale discende l’attuazione di adeguate misure tecniche e organizzative sia all’atto della progettazione che dell’esecuzione del trattamento) nonché quello della (privacy by default) (che ricalca il principio di necessità di cui all’attuale disciplina, stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini)
- le garanzie richieste per il trasferimento dei dati personali al di fuori dell’UE;
- l’introduzione del diritto all’oblio;
- l’inasprimento delle sanzioni previste in materia (fino al 4% del fatturato mondiale totale annuo).
CONCLUSIONE
Il nostro Studio ha già approfondito le tematiche soprariportate allo scopo di consentire alla propria clientela di avere una completa comprensione del nuovo Regolamento europeo e prepararsi sin d’ora ad affrontare al meglio i numerosi cambiamenti ed i nuovi adempimenti che troveranno completa attuazione in materia di protezione dei dati personali.
[1]Art. 4 del Regolamento definisce la profilazione come: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
