Cos’è?
A distanza di diciannove anni dall'entrata in vigore – 8 maggio 1997 – della prima legge italiana in materia di privacy, lo scorso 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 (in seguito anche il "Regolamento"), il quale entrerà in vigore il prossimo 25 maggio.

Tale Regolamento si inserisce all'interno di quello che, insieme alla Direttiva 2016/680, è stato definito il "Pacchetto europeo protezione dati".

A chi interessa?

Le novità introdotte con il Regolamento riguarderanno, dal punto di vista delle aziende (i c.d. "titolari" del trattamento dei dati personali) tutte quelle che – salvo qualche eccezione, una in particolare di cui si dirà tra breve, relativamente alle aziende medio e piccole – avendo uno stabilimento all'interno dell'UE, trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell'UE stessa.

Dal punto di vista, invece, delle persone fisiche – i c.d. "interessati" al trattamento dei propri dati – la nuova normativa si applicherà a tutti i soggetti presenti nell'UE anche quando, sebbene l'azienda titolare del trattamento non abbia uno stabilimento in territorio UE, il trattamento stesso riguardi (i) l'offerta di beni o la prestazione di servizi ai soggetti interessati o (ii) il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all'interno dell'UE.
Ma veniamo ora ad analizzare, nel dettaglio, alcune delle novità di maggior rilievo.
Tra le prime, merita sicuramente attenzione particolare una nuova figura – e professionalità – che va ad affiancarsi alla nomenclatura già conosciuta nel nostro Codice Privacy, ovvero al "titolare", al "responsabile" e all' "incaricato" del trattamento dei dati.

Tale nuova figura è quella del c.d. Data Protection Officer ("DPO"), il "responsabile della protezione dei dati".

Il DPO dovrà essere obbligatoriamente presente all'interno di tutte (i) le aziende pubbliche nonché in tutte quelle ove i trattamenti presentino specifici rischi, come ad esempio (ii) le aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli "interessati", su larga scala, e quelle (iii) che trattano i c.d. "dati sensibili".

Quali sono i compiti del DPO?
- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento;
- verificare l'attuazione e l'applicazione della normativa, oltre alla sensibilizzazione e formazione del personale e dei relativi auditors ;
- fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fungere da punto di contatto per gli "interessati", in merito a qualunque problematica connessa al trattamento dei loro dati nonché all'esercizio dei loro diritti;
- fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

Altra novità di rilievo, è l'introduzione dell'obbligo, per ogni azienda titolare del trattamento dei dati, di tenere un "registro delle attività di trattamento", svolte sotto la propria responsabilità, nonché quello di effettuare una "valutazione di impatto sulla protezione dei dati.

Ancora, andando a concludere, il Regolamento:
- riconosce espressamente il "diritto all'oblio", ovvero la possibilità per l'interessato di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o quando si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento;
- stabilisce il diritto alla "portabilità dei dati", in virtù del quale l'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti, qualora l'interessato abbia fornito il proprio consenso al trattamento o se questo sia necessario per l'esecuzione di un contratto;
- sancisce il principio di "accountability", per cui il titolare dovrà dimostrare l'adozione di politiche privacy e misure adeguate in conformità al Regolamento;
- introduce il principio della "privacy by design" (dal quale discende l'attuazione di adeguate misure tecniche e organizzative sia all'atto della progettazione che dell'esecuzione del trattamento) nonché quello della "privacy by default" (che ricalca il principio di necessità di cui all'attuale disciplina, stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini).

Sanzioni

Infine, per quanto concerne il "sistema sanzionatorio", il Regolamento ha aumentato l'ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.

                                                                               
                                                                                Riproduzione Riservata