Il 4 Maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale della Comunità Europea il “Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, andando ad abrogare la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
- Dal 25 Maggio 2016 è entrato ufficialmente in vigore i nuovo “Regolamento Europeo in materia di protezione dei dati personali – GDPR (General data protection regulation)”;
- Il testo diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 Maggio 2018.
Percorso Normativo:
2012: la Commissione Europea presenta ufficialmente il cosiddetto “pacchetto protezione dati” allo scopo di creare un quadro coerente e complessivamente armonizzato in materia, nell’UE; In particolare, attraverso:
- proposta di Direttiva volta alla regolamentazione dei settori di prevenzione, contrasto, repressione dei crimini, esecuzione delle sanzioni penali, che andrà ad integrare e sostituire la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l’Italia dovrà ancora attuare).
- proposta di Regolamento in materia di “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, volta a disciplinare il trattamento dei dati personali sia nel settore privato che in quello pubblico, e destinata a sostituire la direttiva 95/46;
2015: è stato raggiunto un accordo sul testo del Regolamento e della Direttiva (Comunicato del Consiglio Europeo del 18 dicembre 2015)
4 maggio 2016: sono pubblicati sulla Gazzetta Ufficiale dell’ Unione Europea i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti dei dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
24 maggio 2016: entra ufficialmente in vigore il Regolamento 2016/679, che diventerà applicabile in via diretta in tutti i Paesi UE a partire dal 24 maggio 2018.
Il nuovo Regolamento introdurrà una legislazione in materia di protezione dati uniforme e valida in tutta Europa, affrontando temi innovativi come il Diritto all’Oblio e alla portabilità dei dati, e stabilendo anche criteri che da una parte responsabilizzano maggiormente imprese ed enti rispetto alla protezione dati personali, e dall’altra introducono notevoli semplificazioni e sgravi dagli adempimenti per chi rispetta le regole.
Tuttavia il nuovo Regolamento UE non sarà l’unica fonte legislativa, in quanto viene rimessa alle Autorità dei singoli Stati membri – quindi il Garante per la privacy in Italia – la possibilità di integrare i contenuti del Regolamento.
Ma quali sono le Novità?
- Rispetto al Codice della Privacy attualmente in vigore, il Regolamento non prevede più misure minime, ma solo misure di sicurezza adeguate, progettate dal titolare o responsabile del trattamento dopo una attenta analisi dei rischi che incombono sui dati personali che si intende trattare. Le misure di prevenzione devono essere poste in atto prima del trattamento;
- La figura del titolare del trattamento resta tale, mentre il responsabile per il trattamento è adesso responsabile in solido con il titolare per i danni derivanti da un trattamento non corretto;
- Il responsabile per il trattamento dovrà mettere in atto misure tecniche ed organizzative tali da consentirgli di dimostrare che tratta i dati personali in conformità al Regolamento. Tali misure devono seguire lo stato dell’arte e devono derivare dall’analisi dei rischi che incombono su dati, secondo la relativa gravità e probabilità;
- Devono essere mantenuti registri dei trattamenti di dati effettuati con le informazioni pertinenti e le relative responsabilità. Tali registri non sono obbligatori per organizzazioni con meno di 250 dipendenti salvo che non trattino dati sensibili o giudiziari;
- Il responsabile deve notificare all’autorità competente, ed in casi gravi anche all’interessato, ogni violazione dei dati (data breach) trattati entro 72 ore dall’evento;
- Viene poi introdotta la figura del DPO (Data Protection Officier) – Responsabile della Protezione dei Dati – nelle aziende pubbliche e nelle organizzazioni che trattano dati sensibili o giudiziari su larga scala. Il Responsabile della Protezione dei Dati dovrà essere correttamente informato dal Responsabile del Trattamento su tutte le attività che riguardano la privacy e dovrà disporre di risorse adeguate al ruolo che ricopre; dovrà altresì essere indipendente dalle altre funzioni dell’organizzazione e riferire solamente all’alta direzione.
Che impatto avrà?
Tralasciando l’impatto che il Regolamento UE sulla privacy avrà su colossi quali Google, Facebook, ecc.. è importante osservare come dovrà cambiare l’approccio alla privacy nel caso delle PMI, soprattutto per quelle organizzazioni che trattano dati sensibili o giudiziari. Sarà necessario un drastico cambio di mentalità data la complessità della materia, e della sua nuova regolamentazione. Lo stesso responsabile del trattamento avrà responsabilità maggiori, soprattutto laddove il trattamento di dati venga delegato a fornitori (quali consulenti del lavoro, consulenti fiscali e legali, o strutture esterne..) che dovranno inevitabilmente essere tenuti sotto controllo.
Anzi, proprio le piccole organizzazioni che trattano molti dati c.d. sensibili o giudiziari, a dover pretendere da società, studi legali, e studi in generale di consulenza esterna, adeguate garanzie per il trattamento dei dati di cui sono responsabili.
Valentina Nicita