L’AUTORE: 

A breve diventerà obbligatorio conformarsi alle nuove norme europee in materia di protezione dei dati personali, ma ancora in pochi sanno di cosa si tratta.

Dal 25 maggio 2018, per numerosi soggetti sia pubblici che privati diventerà obbligatorio conformarsi alle nuove norme europee in materia di privacy[1].  Il nuovo Regolamento Privacy, infatti, imporrà obblighi stringenti ed introdurrà nuove responsabilità volte a garantire maggiori misure di sicurezza a protezione dei dati personali. Detto Regolamento andrà a sostituire il Codice della Privacy attualmente in vigore in Italia [2], riconoscendo importanti ed ampi diritti ai cittadini ed imponendo alle imprese e alle P.A. una forte responsabilizzazione. Introdurrà una legislazione in materia di privacy uniforme e valida in tutta Europa affrontando temi innovativi (es: diritto all’oblio) e stabilendo criteri che da una parte responsabilizzano maggiormente le imprese rispetto alla protezione dei dati personali e dall’altra, introducono notevoli semplificazioni e sgravi per chi rispetta le regole.

Al riguardo non tutti i soggetti obbligati hanno ancora compreso la portata della nuova disciplina e, dunque, i processi di adeguamento risultano lenti e talvolta percepiti come meri aggravamenti burocratici.

Detto ciò cerchiamo di comprendere le più importanti novità introdotte dal Regolamento.

Chi sono i soggetti obbligati?

Devono conformarsi alle prescrizioni europee tutte le aziende pubbliche e tutte quelle realtà (anche private) in cui il trattamento dei dati presenta rischi specifici.

Qual è l’ambito di applicabilità?

Il Regolamento si applica solo al trattamento di dati personali delle persone fisiche.

Qual è la ratio della nuova normativa?

Lo sviluppo tecnologico e la globalizzazione, oltre agl’innumerevoli vantaggi,comportano un rischio per la privacy di ognuno e per la protezione dei dati personali la cui condivisione e raccolta è aumentata in modo esponenziale. Per tali ragioni si è reso necessario predisporre un più solido sistema di protezione del diritto alla riservatezza.

 Qual è la tecnica in concreto utilizzata?

Al fine di garantire la protezione dei dati personali il Regolamento ha introdotto due importanti principi, ovverosia il principio di privacy by default e quello di privacy by design.

Il principio di privacy by default fa riferimento alla necessità di tutelare la vita privata dei cittadini – appunto – di default, ovvero come impostazione predefinita dell’organizzazione aziendale. In altri termini, ogni azienda deve necessariamente dotarsi di un sistema tale da proteggere adeguatamente i dati personali ed evitare il rischio di una loro violazione.

Il concetto di privacy by design, invece, stabilisce che la protezione dei dati deve avvenire fin dal disegno e/o progettazione di un processo aziendale. Quindi, ogni azienda deve effettuare una c.d. valutazione dell’impatto-privacy, cioè una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati. Questa analisi deve condurre ad escludere il verificarsi in concreto dei rischi legati al trattamento dei dati personali quali ad esempio la loro distruzione, perdita, modificadivulgazionenon autorizzata.  

Chi è il Responsabile della Protezione dei Dati Personali ?

Per il perseguimento delle finalità sopra descritte, il Regolamento ha introdotto la figura del Responsabile della Protezione dei Dati Personali (detto DPO). Si tratta di un soggetto in possesso di specifici requisiti come competenza, esperienza, indipendenza, autonomia di risorse, con il compito di garantire la tutela della privacy attraverso la verifica della corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza etc.

Manca meno di un anno alla piena applicazione del Regolamento, tuttavia ad oggi solo il 30% delle imprese italiane risulta essere in regola con le disposizioni europee. Al riguardo si evidenzia che le norme che sanzionano il trattamento illecito di dati personali sono molto severe.  Il Regolamento, infatti, ha innalzato sensibilmente la misura delle pene pecuniarie, che potranno arrivare fino ad un massimo di € 20.000.000,00 o fino al 4%del fatturato annuo.

È necessario, quindi, che le imprese interessate si attivino al più presto per conformarsi alle norme europee entro e non oltre il 25 maggio 2018.

note

[1] Regolamento UE n. 679 del 04.05.2016, denominato “General Data Protection Regulation”.

[2] D. Lgs. n. 196/2003.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *