Privacy: il Nuovo Regolamento (UE) 2016/679

Il Regolamento (UE) 2016/679 del Parlamento e del Consiglio europeo sulla protezione dei dati personali, pur essendo entrato in vigore il 24 maggio 2016, diventerà definitivamente applicabile in tutti i Paesi UE, e quindi anche in Italia, soltanto a partire dal 25 maggio 2018. Proviamo quindi a vedere quali sono le novità che la nuova normativa introduce, riservandoci ulteriori approfondimenti nelle prossime settimane.

Il Regolamento richiede un diverso approccio al tema della privacy da parte delle aziende che svolgono trattamento dei dati personali che sono chiamate ad analizzare i trattamenti svolti e ad attivare processi che possano garantire il rispetto della normativa.

Il Regolamento introduce il principio di responsabilizzazione o "accountability", in base al quale è il titolare a dover attuare misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività con il Regolamento, ivi compresa l'efficacia delle misure adottate.

Vengono introdotti altresì i principi di "privacy by design" e "privacy by default" ossia la necessità di considerare i profili di corretto trattamento dei dati sia in fase di progettazione che di pianificazione prevedendo sin da subito misure tecniche ed organizzative idonee a garantire che i dati siano trattati di default in maniera corretta ossia pertinenti, leciti e non eccedenti.

Il Regolamento introduce altresì la figura del “Data Protection Officer” (DPO) ovvero del  â€œResponsabile della protezione dei dati (RPD)” (artt. nn. 37, 38, 39). In base all’art. 37 tale nuova figura può essere nominata dal Titolare del trattamento o dal Responsabile del trattamento su base volontaria, mentre la sua designazione sarà obbligatoria solo in tre ipotesi:

a) quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (per es. amministrazioni ed enti pubblici), fatta eccezione per le autorità giudiziarie;

b) quando le attività principali dei soggetti titolari consistono in trattamenti che, per loro natura finalità od oggetto, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) quando le attività principali consistono nel trattamento, sempre su larga scala, di dati sensibili.

Altra novità è costituita da nuovi diritti attribuiti all'interessato quali il diritto all’oblio ed il diritto alla portabilità dei dati, avendo definito i limiti del trattamento automatizzato dei dati personali.

Il Regolamento ha inoltre operato una maggiore responsabilizzazione del Titolare del trattamento dei dati, al quale sono state devolute notevoli scelte a discapito dell’Autorità Garante. Viene affidato ai titolari ed ai responsabili del trattamento il delicato compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, da adoperare sempre nel rispetto delle disposizioni normative.

Il fine principale del Regolamento è quello di garantire la protezione dei dati fin dalla fase di ideazione e progettazione del trattamento e di predisporre le misure idonee alla prevenzione di possibili problematiche, effettuando analisi preventive e concrete valutazioni di rischio (privacy impact assessment) nei casi in cui il trattamento potrebbe comportare dei rischi, prevedendo l'obbligo di una verifica preventiva da parte dell' Autorità Garante nel caso in cui dalla valutazione d'impatto risultasse che i trattamento posto in essere presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

Non sarà più necessaria quindi la notifica preventiva dei trattamenti all'autorità di controllo, ma sarà invece obbligatoria – fatta eccezione per gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio - la tenuta di un registro dei trattamenti da parte del titolare o del responsabile, in cui vengono annotati trattamenti in essere ai sensi dell' art. 30.

Il nuovo Regolamento individua come obbligo generalizzato in capo a tutti i soggetti titolari di comunicare all'Autorità eventuali violazioni dei dati personali (Data breach).

In vista della prossima scadenza di maggio, sarà necessario, previa effettuazione di una corretta analisi (audit) finalizzata ad individuare le varie tipologie dei dati trattati, le finalità per cui sono stati acquisiti e gestiti e le modalità di trattamento, aver provveduto all'adeguamento sia all'interno (organizzazione aziendale, informative e nomine) che all'esterno (sito web, modulistica) della propria struttura alla nuova normativa.

Ma di tutto ciò e di altro cercheremo di parlare nelle prossime settimane.