Entra in vigore domani il nuovo regolamento europeo sulla privacy

Fonte: Mondo-Privacy

In data 15 dicembre 2015 è stato raggiunto un accordo per il nuovo Regolamento Europeo sulla Privacy, che in Italia abrogherà la direttiva 95/46/CE, così detta “Direttiva Madre” e andrà a sostituire il Codice Privacy.

Il 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la versione definitiva del testo del Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il Regolamento Europeo entrerà in vigore il 25 maggio 2016 e si applicherà a tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy.

Ricordiamo che i regolamenti UE sono immediatamente esecutivi, non richiedendo la necessità di recepimento da parte degli Stati membri. Per lo stesso motivo essi possono garantire una maggiore armonizzazione a livello dell’intera UE. L’entrata in vigore di questo Regolamento permetterà che le stesse direttive siano contemporaneamente in vigore in ventisette stati membri UE uniformandoli sotto un unico codice.

Il Regolamento Europeo Privacy introdurrà nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali. Segnaliamo l’introduzione del diritto dell’interessato alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) e del diritto all’oblio per cui ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime). Questo potrà accadere ad esempio in ambito web quando un utente richiederà l’eliminazione dei propri dati in possesso di un social network o di altro servizio web.

Per Titolari e Responsabili del trattamento le novità saranno parecchie. Il principio della accountability comporterà l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure privacy adottate nel rispetto del Regolamento Europeo. Bisognerà redigere e conservare opportune documentazioni quali i Registri delle attività di trattamento (art. 30) in cui vengano riportare tutte le attività di trattamento dati svolte sotto la responsabilità del titolare al trattamento o del responsabile. Viene richiesto di cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato (art. 32-34).

Saranno necessarie valutazioni d’impatto sulla protezione dei dati, o Privacy Impact Assestment (art. 35) in caso di trattamenti rischiosi, e verifiche preliminari per diverse circostanze da parte del Garante. Si valicherà, peraltro, la prassi di notificazione all’autorità, con notevole semplificazione per le attività d’impresa pluri-nazionali.

Un’ulteriore novità rappresenta l’obbligo, per le imprese con oltre 250 dipendenti e per tutti gli enti pubblici, di nominare un responsabile della protezione dei dati (Sez. 4, art. 37-39), anche denominato Data Protection Officer, interno o esterno, con un’ampia conoscenza della normativa, che sarà in relazione diretta con i vertici aziendali. Al Data Protection Officer, figura competente sia in aree giuridiche che informatiche, verrà affidato il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti.

Per poter svolgere le attività richieste, il responsabile della protezione dei dati deve avere un’adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali. Deve inoltre predisporre un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza.

All’interno del Regolamento Europeo viene indicato che il Data Protection Officer è una figura autonoma, che esegue le proprie funzioni in completa indipendenza (senza ricevere alcuna istruzione o impostazione gerarchica), e riferisce sul suo operato direttamente ai vertici aziendali, i quali, per la piena esecuzione dei suoi compiti si occupano di fornire le risorse necessarie.