Dopo quattro anni di gestazione, il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il testo definitivo del nuovo Regolamento in materia di protezione dei dati personali (il cosiddetto General Data Protection Regulation). Il regolamento, che è entrato in vigore il 24 maggio e che sarà applicabile solo a partire dal 25 maggio 2018, abroga e sostituisce integralmente l’attuale normativa europea in materia di Privacy e Data Protection (le direttive CE 46/95 e 58/02). Se sotto il profilo dell’impostazione generale e dei principi si può affermare che il nuovo regolamento non si discosti molto dall’attuale disciplina, lo stesso non può dirsi delle disposizioni di dettaglio che prevedono, da un lato, l’adozione di strumenti già presenti in alcuni paesi membri (si pensi al Privacy Impact Assesment), e dall’altro la semplificazione di determinate procedure (ad esempio in materia di notificazione) o l’implementazione generale di norme precedentemente previste solo in specifici settori (come la disciplina sul Data Breach).
Alla luce del testo definitivo, le novità più rilevanti possono essere individuate:
- nell’introduzione di una normativa unica per tutti gli stati membri dell’EU, con la conseguente eliminazione delle significative differenze di disciplina attualmente presenti nelle singole leggi nazionali;
- nella previsione specifica di un “diritto all’oblio” in capo ai cittadini europei, sancito dall’art. 17 del Regolamento (che ne disciplina altresì l’esercizio in modo analitico);
- nell’obbligo di nomina, per determinati enti, di un “Responsabile della protezione dei dati” (il cosiddetto Privacy Officer o Data Protection Officer), che dovrà fornire consulenza ai Titolari del trattamento relativamente alla disciplina prevista in tema di Privacy, vigilare sulla sua corretta osservanza e cooperare e fungere da punto di contatto tra l’Autorità Garante e il Titolare stesso. Sulla base di quanto stabilito dal Regolamento (artt. 37 e seguenti), i soggetti obbligati a nominare un Responsabile della Protezione dei Dati Personali attualmente sono:
-
le amministrazioni e gli enti pubblici;
-
tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
-
tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici
A questo link è possibile trovare una scheda informativa predisposta dal Garante;
- nell’obbligo per i Titolari del trattamento di effettuare una notificazione (ai sensi degli artt. 33 e seguenti) all’Autorità Garante, e in ipotesi specifiche anche agli interessati, nel caso in cui si subisca una “Violazione dei dati personali” (altrimenti detta Data Breach), ossia quando si verifichi una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”;
- nella necessità, per i titolari del trattamento, di effettuare una preventiva “Valutazione d'impatto sulla protezione dei dati", (o Privacy Impact Assessment) in relazione a particolari trattamenti. Secondo l’art. 35 del Regolamento, in generale, dovrà essere predisposta una valutazione d’impatto sulla protezione dei dati nel caso in il trattamento, considerata la sua natura, il suo oggetto, il contesto e le sue finalità, presenti “un rischio elevato per i diritti e le libertà delle persone fisiche”;
- nell’obbligo (per imprese e organizzazioni con più di 250 dipendenti, a parte alcune eccezioni) di tenere dei “Registri delle attività di trattamento” (assimilabili per certi versi al vecchio DPS) in cui i Titolari dovranno elencare le attività di trattamento svolte sotto la propria responsabilità, indicando dettagliatamente tutte le informazioni di cui all’art. 30, comma 1 del provvedimento.
Le novità introdotte, che non stravolgono l’attuale disciplina in materia di Privacy, presentano comunque un grado elevato di complessità e, soprattutto, necessitano di procedure aziendali ad hoc. Nel caso in cui si ritenga di ricadere nelle categorie di soggetti destinatari delle previsioni stabilite dal Regolamento (che, come già anticipato, sarà applicabile solo a partire dal 25 maggio 2018) sarà opportuno adeguarsi alle nuove disposizioni per tempo.
Andrea Palumbo