Il regolamento UE n. 679/16 (c.d. G.D.P.R. – General Data Protection Regulation) modifica la vigente normativa europea in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
E’ abrogata la Direttiva n. 95/46/CE, attuata in Italia per mezzo del D.lgs. 196/2003 (c.d. Codice Privacy).
Diversamente da questa, il Regolamento UE non richiede alcuna forma di legislazione applicativa da parte degli stati membri, ma sarà direttamente applicabile negli stessi a far data dal 25 maggio 2018.
Nel frattempo, la Legge Europea 2016-2017 (L. n. 163 del 25 ottobre 2017) ha comunque delegato il Governo italiano ad adottare “entro sei mesi dalla data di entrata in vigore della presente legge” uno o più decreti legislativi al fine di adeguare la vigente normativa nazionale alle novità introdotte dal Regolamento UE.
Il regolamento UE n. 679/16, pubblicato nella Gazzetta Ufficiale dell’Unione Europea in data 4 maggio 2016, è entrato in vigore il 24 maggio 2016.
Il secondo comma dell’art. 99 del Regolamento UE prevede che “Esso si applica a decorrere dal 25 maggio 2018.”.
Sono stati pertanto concessi due anni di tempo per prepararsi alle novità portate dal nuovo Regolamento, avente efficacia diretta negli Stati membri.
Si segnala peraltro che nella Gazzetta Ufficiale n. 259 del 6.11.2017 è stata pubblicata la Legge n. 163 del 25 ottobre 2017 recante la “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017”.
Ai sensi del comma 1 della citata Legge, il Governo Italiano è “delegato ad adottare, entro sei mesi dalla data di entrata in vigore della presente legge, con le procedure di cui all’articolo 31 della legge 24 dicembre 2012, n. 234, acquisiti i pareri delle competenti Commissioni parlamentari e del Garante per la protezione dei dati personali, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del regolamento (UE) 2016/679”.
Quindi, oltre al 25 maggio 2018, va annotato anche il termine del 6 maggio 2018 entro il quale verrà emanato il Decreto delegato.
L’adeguamento alle novità portate dal regolamento UE si compone di più fasi.
Il regolamento UE pone con forza l’accento sulla “responsabilizzazione” (c.d. accountability) di titolari e responsabili, sui quali incombe l’onere di dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Prima fase è quella dell’analisi e della valutazione dei rischi relativi ai trattamenti di dati personali effettuati dal singolo titolare o dal singolo responsabile.
Individuati i rischi legati a tali trattamenti, andranno successivamente individuate le misure di sicurezza da adottare nell’ottica di scongiurare tali rischi; sul punto si evidenzia come il legislatore europeo non menzioni né indichi delle misure “minime” idonee a prevenire un’eventuale violazione dei diritti dell’interessato (come invece indicate all’Allegato B del Codice privacy ora abrogato), ma si limiti unicamente a richiedere che tali misure siano “adeguate” allo scopo (evitare la predetta violazione).
Andranno riviste e modificate le attuali informative privacy (dirette a dipendenti, clienti e fornitori).
Andrà inoltre predisposta ex novo la nuova informativa di cui all’art. 14 per il caso in cui i dati siano raccolti presso terzi diversi dall’interessato.
Le informative dovranno essere più complete e dettagliate: dovranno essere specificati i dati di contatto del Data Protection Officer (se designato), la base giuridica del trattamento, se il titolare o il responsabile trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti; dovrà essere altresì specificato il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione e se il trattamento comporta processi decisionali automatizzati (es. profilazione); per il caso di cui all’art. 14, dovrà essere altresì specificata la fonte da cui hanno origine i dati trattati.
Da ultimo, dovrà altresì essere revisionato l’attuale organigramma privacy con particolare riferimento alle figure dei responsabili del trattamento cui dovrà essere conferito apposito incarico mediante contratto ad hoc (art. 28 del regolamento e ora anche art. 29 del D.lgs. 196/03); andrà altresì verificata la opportunità/necessità di nominare un DPO (Data Protection Officer) i cui compiti (art. 39 regolamento) saranno principalmente quelli di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno dell’azienda.
Andrà poi valutata la necessità di predisporre un registro delle operazioni di trattamento dei dati come previsto e disciplinato all’art. 30 del regolamento; il comma 5 del predetto articolo prevede che non siano obbligate alla tenuta del registro “le imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
Il registro potrà avere forma scritta, anche elettronica, e dovrà essere esibito su richiesta al Garante.
Valutazione del rischio e individuazione delle misure adeguate |
Procedura informatica per la gestione informative e consensi |
Formazione del personale |