Nuovo Regolamento Europeo in materia di dati personali


Il 4 Maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale della Comunità Europea il “Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, andando ad abrogare la direttiva  95/46/CE (Regolamento generale sulla protezione dei dati).

  • Dal 25 Maggio 2016 è entrato ufficialmente in vigore i nuovo Regolamento Europeo in materia di protezione dei dati personali – GDPR (General data protection regulation)”;
  • Il testo diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 Maggio 2018.

Percorso Normativo:

2012: la Commissione Europea presenta ufficialmente il cosiddetto “pacchetto protezione dati” allo scopo di creare un quadro coerente e complessivamente armonizzato in materia, nell’UE; In particolare, attraverso:

  • proposta di Direttiva volta alla regolamentazione dei settori di prevenzione, contrasto, repressione dei crimini, esecuzione delle sanzioni penali, che andrà ad integrare e sostituire la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l’Italia dovrà ancora attuare).
  • proposta di Regolamento in materia di “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, volta a disciplinare il trattamento dei dati personali sia nel settore privato che in quello pubblico, e destinata a sostituire la direttiva 95/46;

2015: è stato raggiunto un accordo sul testo del Regolamento e della Direttiva (Comunicato del Consiglio Europeo del 18 dicembre 2015)

4 maggio 2016: sono pubblicati sulla Gazzetta Ufficiale dell’ Unione Europea i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti dei dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

24 maggio 2016: entra ufficialmente in vigore il Regolamento 2016/679, che diventerà applicabile in via diretta in tutti i Paesi UE a partire dal 24 maggio 2018.

Il nuovo Regolamento introdurrà una legislazione in materia di protezione dati uniforme e valida in tutta Europa, affrontando temi innovativi come il Diritto all’Oblio e alla portabilità dei dati, e stabilendo anche criteri che da una parte responsabilizzano maggiormente imprese ed enti rispetto alla protezione dati personali, e dall’altra introducono notevoli semplificazioni e sgravi dagli adempimenti per chi rispetta le regole.

Tuttavia il nuovo Regolamento UE non sarà l’unica fonte legislativa, in quanto viene rimessa alle Autorità dei singoli Stati membri – quindi il Garante per la privacy in Italia – la possibilità di integrare i contenuti del Regolamento.

Ma quali sono le Novità?

  1. Rispetto al Codice della Privacy attualmente in vigore, il Regolamento non prevede più misure minime, ma solo misure di sicurezza adeguate, progettate dal titolare o responsabile del trattamento dopo una attenta analisi dei rischi che incombono sui dati personali che si intende trattare. Le misure di prevenzione devono essere poste in atto prima del trattamento;
  2. La figura del titolare del trattamento resta tale, mentre il responsabile per il trattamento è adesso responsabile in solido con il titolare per i danni derivanti da un trattamento non corretto;
  3. Il responsabile per il trattamento dovrà mettere in atto misure tecniche ed organizzative tali da consentirgli di dimostrare che tratta i dati personali in conformità al Regolamento. Tali misure devono seguire lo stato dell’arte e devono derivare dall’analisi dei rischi che incombono su dati, secondo la relativa gravità e probabilità;
  4. Devono essere mantenuti registri dei trattamenti di dati effettuati con le informazioni pertinenti e le relative responsabilità. Tali registri non sono obbligatori per organizzazioni con meno di 250 dipendenti salvo che non trattino dati sensibili o giudiziari;
  5. Il responsabile deve notificare all’autorità competente, ed in casi gravi anche all’interessato, ogni violazione dei dati (data breach) trattati entro 72 ore dall’evento;
  6. Viene poi introdotta la figura del DPO (Data Protection Officier) – Responsabile della Protezione dei Dati – nelle aziende pubbliche e nelle organizzazioni che trattano dati sensibili o giudiziari su larga scala. Il Responsabile della Protezione dei Dati dovrà essere correttamente informato dal Responsabile del Trattamento su tutte le attività che riguardano la privacy e dovrà disporre di risorse adeguate al ruolo che ricopre; dovrà altresì essere indipendente dalle altre funzioni dell’organizzazione e riferire solamente all’alta direzione.

Che impatto avrà?

Tralasciando l’impatto che il Regolamento UE sulla privacy avrà su colossi quali Google, Facebook, ecc.. è importante osservare come dovrà cambiare l’approccio alla privacy nel caso delle PMI, soprattutto per quelle organizzazioni che trattano dati sensibili o giudiziari. Sarà necessario un drastico cambio di mentalità data la complessità della materia, e della sua nuova regolamentazione. Lo stesso responsabile del trattamento avrà responsabilità maggiori, soprattutto laddove il trattamento di dati venga delegato a fornitori (quali consulenti del lavoro, consulenti fiscali e legali, o strutture esterne..) che dovranno inevitabilmente essere tenuti sotto controllo.

Anzi, proprio le piccole organizzazioni che trattano molti dati c.d. sensibili o giudiziari, a dover pretendere da società, studi legali, e studi in generale di consulenza esterna, adeguate garanzie per il trattamento dei dati di cui sono responsabili.

Valentina Nicita

Condividi:

Attività