NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY
Nella Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016 è stato pubblicato il Nuovo Regolamento Europeo 2016/679 sulla Privacy o GDPR (General Data Protection Regulation) che abrogherà in Italia la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Il 25 maggio 2016 il Regolamento Europeo è entrato in vigore. Tale Regolamento si applicherà in tutti i ventisette stati membri dell’Unione Europea a partire dal 25 maggio 2018, termine entro cui le aziende dovranno uniformarsi alla nuova legge sulla privacy. Con l’entrata in vigore del Nuovo Regolamento Europeo sulla Privacy saranno introdotte a beneficio degli interessati nuove tutele, che genereranno a sua volta a carico dei Titolari e Responsabili del trattamento di dati personali nuovi obblighi.
Le principali novità contenute nel Regolamento Europeo Privacy riguarderanno la diffusione dei dati personali e il «diritto all’oblio» regolamentato dall’articolo 17 in virtù del quale “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
- i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo e se non sussiste altro fondamento giuridico per il trattamento;
- l’interessato si oppone al trattamento, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione”.
Un’altra innovazione è l’introduzione del diritto dell’interessato alla «portabilità del dato» regolamentato dall’articolo 20 in virtù del quale “L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora il trattamento si basi sul consenso o su un contratto, oppure sia effettuato con mezzi automatizzati”.
La novità riguardante le misure privacy adottate nel rispetto del Regolamento Europeo, permane al fatto che essi dovranno essere dimostrate in virtù al «principio della accountability» attraverso il quale il Titolare e Responsabile del trattamento di dati personali dovrà mettere in atto le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Tale misure, qualora necessario, sono riesaminate e aggiornate. Infatti l’art.30 denominato “Registri delle attività di trattamento” stabilisce che ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento elaborato sotto la propria responsabilità. Tale registro, tenuto in forma scritta o in formato elettronico, contiene varie informazioni, il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati, le finalità del trattamento, ecc. Inoltre viene richiesto di cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato.
Una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 GDPR, è il Data Protection Officer, la cui designazione sarà obbligatoria nel caso in cui:
- il trattamento venga effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
- qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessi su larga scala;
- nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).
Al Data Protection Officer, figura storicamente già presente in alcune legislazioni europee, competente sia in aree giuridiche che informatiche, verrà assegnato il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali, all’interno di un’azienda, secondo le direttive imposte dalle normative privacy europee e nazionali.
Per essere in grado di fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali, il responsabile della protezione dei dati deve avere un’idonea conoscenza della normativa privacy e delle prassi in materia di protezione dei dati. Per garantire l’osservanza del Regolamento Europeo e assicurare la riservatezza e la sicurezza, deve essere predisposto un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati.
Nel Regolamento Europeo viene stabilito che il Data Protection Officer è una figura autonoma, che compie le proprie funzioni in completa indipendenza; sarà competenza dei vertici aziendali fornire le risorse necessarie per il compimento dei suoi compiti.
Tag:#privacy, #protection