A partire da venerdì 25 maggio 2018 troverà applicazione, in tutti gli Stati membri, il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – che porta con sé diverse novità e ulteriori adempimenti, cui imprese e professionisti devono far fronte in tema di privacy.

Il GDPR armonizza l’applicazione della protezione dei dati personali delle persone fisiche (non anche quelle giuridiche) in tutti i paesi UE, al fine di assicurare la protezione dei diritti e delle libertà delle persone fisiche in maniera equivalente in tutti gli Stati membri e la libera circolazione dei dati, disciplinando i principi e le condizioni per procedere al legittimo trattamento di tali dati.

La definizione di dato personale assunta dal GDPR risulta particolarmente ampia. L’art. 4 del GDPR stabilisce che per dato personale debba intendersi “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Il Regolamento UE sostituisce la Dir. 95/49/CE (Regolamento generale sulla protezione dei dati), avrà prevalenza sul diritto interno, eventualmente ancora vigente, che dovesse risultare incompatibile con le disposizioni previste dal regolamento medesimo, e delega i paesi membri ad introdurre normative nazionali per eventuali disposizioni applicative o discipline speciali di settore. Pertanto, il D. lgs. 192/2003 (“Codice della Privacy”) rimane in vigore per quanto non difforme dal Regolamento.

Queste le modifiche più significative del Regolamento UE:

• introduzione di un sistema armonizzato di Privacy in ambito comunitario;
• diritto all’oblio (cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento) e alla portabilità dei dati su richiesta degli interessati;
• “approccio basato sul rischio” da parte del Titolare il quale deve effettuare costantemente (prima durante e al termine del trattamento) delle valutazioni sulla correttezza dell’operato;
• l’introduzione del Registro dei trattamenti per particolari fattispecie;
• introduzione della figura del Responsabile della protezione dei dati (cd. “DPO” - Data protection officer) per gli enti pubblici/privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui;
• possibilità per Titolari e Responsabili del trattamento di ottenere dagli organismi certificatori accreditati (o dall’autorità di controllo competente) una certificazione riguardante la conformità del trattamento alla normativa prevista dal Regolamento;
• inasprimento del regime sanzionario.

Rimane sostanzialmente confermata, sebbene integrata, la disciplina sul consenso, che deve essere in tutti i casi libero, specifico, informato e manifestato attraverso dichiarazione o azione positiva: l’art. 4 del GDPR definisce il consenso dell’interessato come una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Sia che sia stato dato in forma scritta o orale, il responsabile del trattamento deve essere in grado di dimostrare che il consenso sia stato fornito: esso è escluso in caso di silenzio/inattività, o in caso di “preselezione di caselle”. I consensi ottenuti in precedenza, a norma della direttiva 95/46/CE, rimangano validi nei limiti in cui sono conformi con i requisiti di cui al GDPR. Il consenso può essere revocato dall’interessato in qualsiasi momento.

Il regolamento pone con particolare enfasi l'accento sulla responsabilizzazione (accountability) del Titolare e della nuova figura del Responsabile della protezione dei dati (RDP-PDO), in forza della quale il titolare del trattamento è tenuto a porre in essere tutte le misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali degli interessati è effettuato nel rispetto delle norme del GDPR.

Si parla dunque di protezione dei dati “by design” e “by default”: le misure di protezione adottate vanno valutate sia al momento della loro raccolta, che per tutta la durata del trattamento e per il tempo minimo richiesto alla realizzazione delle finalità con cui l’interessato aveva rilasciato il consenso.

Il Regolamento UE, come precedentemente il Codice della Privacy, definisce le caratteristiche soggettive e responsabilità del Titolare e del Responsabile del trattamento; dal punto di vista formale il Regolamento introduce la designazione del Responsabile del trattamento tramite contratto che ne evidenzi le garanzie sufficienti; la possibilità alla contitolarità del trattamento; la possibilità di sub-responsabili del trattamento; in taluni casi, la designazione tramite atto formale di un Responsabile della protezione dei dati (RDP-DPO).

La nomina del Responsabile della protezione dei dati (RDP-DPO) è obbligatoria se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico e se le attività principali del titolare/responsabile del trattamento consistono in trattamenti che implicano il monitoraggio regolare e sistematico degli interessati su larga scala o di categorie particolari di dati o relativi a condanne penali e a reati.

Il RDP-DPO ha funzioni di controllo e supporto, è esperto di normativa e prassi in materia di privacy, informa e consiglia il Titolare del trattamento o il Responsabile del trattamento circa gli obblighi derivanti dal Regolamento e vigila sul loro effettivo adempimento, coopera con l’autorità di controllo per le questioni riguardanti il trattamento (e per questo il suo nominato è oggetto di comunicazione al Garante).

Tweet