di Ilaria Li Vigni
In data 15 dicembre 2015 è stato raggiunto un accordo per il nuovo Regolamento Europeo sulla Privacy o GDPR (General Data Protection Regulation) che in Italia abrogherà la direttiva 95/46/CE, così detta “Direttiva Madre” e andrà a sostituire il Codice Privacy.
Il 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la versione definitiva del testo del Regolamento Europeo 2016/679, relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il Regolamento Europeo, entrato in vigore il 25 maggio 2016, sarà applicato in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro cui le aziende dovranno adeguarsi alla nuova legge sulla privacy.
Ricordiamo che i regolamenti dell’Unione Europea sono immediatamente esecutivi, non richiedendo la necessità di recepimento da parte degli Stati membri e, per tale ragione, possono garantire una maggiore armonizzazione normativa negli Stati.
Il Regolamento Europeo Privacy o GDPR introdurrà nuove tutele a favore degli interessati, e, inevitabilmente, nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali.
Si segnala l’introduzione del diritto dell’interessato alla “portabilità del dato” (ad esempio, nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) e del diritto all’oblio per cui ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime).
Ciò potrà accadere, ad esempio, in ambito web quando un utente richiederà l’eliminazione dei propri dati in possesso di un social network o di altro servizio web.
Molte novità per Titolari e Responsabili del trattamento.
Il principio della accountability comporterà l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure privacy adottate nel rispetto del Regolamento Europeo.
Bisognerà redigere e conservare opportune documentazioni, come i registri delle attività di trattamento (art. 30), in cui vengano riportare tutte le attività di trattamento dati, svolte sotto la responsabilità del titolare al trattamento o del responsabile.
Viene richiesto di cooperare con l’autorità di controllo, notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato (art. 32-34).
Saranno necessarie valutazioni d’impatto sulla protezione dei dati o privacy impact assessment (art. 35), in caso di trattamenti rischiosi e verifiche preliminari per diverse circostanze da parte del Garante.
Al Data Protection Officer, figura competente sia in aree giuridiche che informatiche, verrà affidato il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le normative vigenti.
La designazione del Data Protection Officer sarà obbligatoria nel caso in cui:
(a) il trattamento venga effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali), ovvero
(b) qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessi su larga scala, o ancora
(c) nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).
Il Privacy Officer potrà essere interno o esterno, dovrà possedere un’ampia conoscenza della normativa e sarà in relazione diretta con i vertici aziendali.
Per poter svolgere le attività richieste, il responsabile della protezione dei dati deve avere un’adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali.
Deve inoltre predisporre un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza.
All’interno del Regolamento Europeo viene indicato il Data Protection Officer, figura autonoma che esegue le proprie funzioni in completa indipendenza (senza ricevere alcuna istruzione o impostazione gerarchica) e riferisce, sul suo operato, direttamente ai vertici aziendali, i quali, per la piena esecuzione dei suoi compiti si occupano di fornire le risorse necessarie.
Bene ha fatto l’Europa a normare un settore in notevole evoluzione, quale appunto la riservatezza dei dati personali, in particolare nella gestione aziendale, in momenti di grande cambiamento per continui mutamenti tecnologici e nuove forme di comunicazione di massa.
Occorrerà, evidentemente, del tempo perchè le aziende si dotino delle figure e strumenti richiesti dalla legge, ma, soprattutto ,sarà necessaria una capillare attività formativa per i management aziendali e per queste nuove figure di “Privacy Officer”, volta ad informare i primi ed a formare i secondi sia da un punto di vista teorico sia pratico.
Solo così la legge europea potrà essere un vero viatico per una maggiore tutela della Privacy, rendendo il diritto concreto, attuale e davvero applicabile in tutti i più piccoli risvolti di cui si compone.