PRIVACY, IL NUOVO REGOLAMENTO UE 679/2016

Il Regolamento europeo sulla protezione dei dati personali (Regolamento (UE) 2016/679) [GDPR – General Data Protection Regulation]  si applicherà a decorrere dal 25 maggio 2018 e sarà obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri.

Esso abroga la precedente direttiva 95/46/CE. Tuttavia, il D.Lgs. n. 196/2003, Codice del trattamento dei dati personali, non viene del tutto abrogato, ma alcune disposizioni in esso contenute devono essere modificate o integrate alla luce delle disposizioni del GDPR.

Il  Regolamento UE 2016/679 impone a tutti i Paesi membri dell’Unione Europea, l’adempimento dei requisiti obbligatori per la gestione, il trattamento e la conservazione dei dati personali.

Il GDPR si rivolge a tutte le Società, agli Enti Pubblici, ai Liberi Professionisti e a tutti i Gruppi imprenditoriali, Associazioni e/o Organizzazioni che abbiano sede nella Comunità Europea o che, pur non avendo sede al di fuori della Comunità Europea, gestiscano e trattino dati ed informazioni di cittadini dell’Unione Europea.

La principale novità introdotta dal regolamento è il principio di “responsabilizzazione” (cd. Accountability, ex art.5), che attribuisce direttamente ai titolari del trattamento il compito di assicurare ed essere in grado di comprovare il rispetto dei principi applicabili al trattamento dei dati personali.

Tra le altre novità, vi è l’introduzione di pene più severe per coloro che mettano a rischio i diritti degli individui o che violino i diritti dei cittadini, con sanzioni fino a 20 milioni di euro o con sanzioni pari al 4% sul fatturato totale riferito all’esercizio precedente.

Con il Regolamento UE è stato introdotto il cosiddetto principio di «Data Breach» (artt. 33 e 34), che scatta in caso di violazione dei dati, accesso abusivo o, comunque, perdita degli stessi: i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo e, nei casi di particolare gravità, anche i diretti interessati entro 72 ore.

È stato imposto al titolare del trattamento di redigere e aggiornare il «Registro delle attività del trattamento» (art.30), ove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate.

È stata istituita la nuova figura del «Responsabile della protezione dei dati» – DPO (artt. 37-39), il quale dovrà effettuare il cosiddetto Privacy Impact Assessment (ossia la valutazione del rischio) al fine di valutare le misure e gli accorgimenti da suggerire alle aziende per rispettare le norme del Regolamento, con la produzione della relativa documentazione sulle misure adottate per la tutela dei dati.

Altra novità importante è il «diritto alla portabilità dei dati», che consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, nonché di trasmetterli a un altro titolare del trattamento senza impedimenti.

È stato rafforzato il «diritto all’oblio» (art.17) nell’ambiente online, ossia il diritto dell’interessato di chiedere che siano cancellati o non più sottoposti a trattamento parte dei propri dati presenti in Rete, salvaguardando comunque il diritto di cronaca per i casi di rilevante interesse generale o per finalità di interesse storico.

Queste sono solo alcune delle novità introdotte dal GDPR. Ciascuna società dovrà, pertanto, procedere alla valutazione circa le modalità di adozione delle sopracitate garanzie tramite la progettazione e l’attuazione di un sistema di trattamento dei dati al fine di garantire la tutela per gli interessati.

Coloro che abbiano adottato il Modello Organizzativo Gestionale ex D.Lgs. 231 saranno tenute ad integrare tra i protocolli adottati nel M.O.G. le procedure, istruzioni, direttive o policy, nella fattispecie dei reati per delitti informatici e trattamento illecito di dati (ex art.24-bis, D.Lgs. 231/2001). Le società certificate ISO/IEC 27001 saranno tenute ad integrare nel loro Sistema di Gestione alcuni aspetti richiamati dal GDPR.