Il 25 maggio 2018 entrerà in vigore in tutti i Paesi membri dell'Unione Europa, il regolamento europeo 2016/679 in materia di protezione dei dati personali.
Il nuovo regolamento abroga la direttiva 95/46/CE, recepita in Italia dal D. Lgs. 196/2003, cosiddetto Codice della Privacy.
La fase transitoria di due anni tra l'entrata in vigore del regolamento, avvenuta il 24 maggio 2016, e la sua applicazione diretta, è necessaria per consentire agli ordinamenti dei singoli Paesi membri di adeguarsi alla nuova disciplina e per permettere alle imprese di attrezzarsi per allineare i trattamenti di dati personali ai nuovi standard.
Entro il 25 maggio 2018 le imprese che, in qualità di titolari o responsabili, trattino dati personali nell’ambito delle attività di un proprio stabilimento situato nel territorio dell’Unione Europea (indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione Europea) o che, pur in assenza di uno stabilimento nell’Unione Europea, offrano servizi o prodotti a soggetti che si trovano nel territorio dell’Unione Europea o monitorino il comportamento di soggetti nell’Unione Europea, dovranno cioè adeguarsi alle prescrizioni del nuovo regolamento.
Novità importante:
il principio di responsabilizzazione(“accountability”) del titolare e del responsabile del trattamento. Esso consiste nell’adottare misure tecniche e organizzative adeguate a garantire e a dimostrare che il trattamento dei dati personali è effettuato conformemente al regolamento. Il titolare e il responsabile del trattamento hanno nuovi obblighi, la cui violazione viene sanzionata.
Due gli adempimenti rilevanti:
l
a tenuta dei registri delle attività di trattamento(articolo 30 del regolamento). Tale articolo prevede l’obbligo sia per i titolari che per i responsabili esterni del trattamento dei dati di tenere i registri delle attività di trattamento svolte. Le imprese e le organizzazioni con meno di 250 dipendenti non sono obbligati a tenere il registro dei trattamenti. Ovviamente, ciò non vale per tutti. Coloro che, pur avendo un numero di dipendenti inferiore a 250 e trattino dati sensibili e giudiziari in modo non occasionale, non sono esonerati dall’obbligo.
la nomina del responsabile della protezione dei dati o “data protection officer” (articolo 37 del regolamento). La nomina avviene sulla base delle competenze professionali ed in particolare sulla conoscenza della normativa e gestione dei dati personali. Può essere sia un dipendente interno all’aziende sia un consulente esterno. L’art.37 prevede che tale figura debba essere obbligatoriamente nominata, oltre che dalle amministrazioni ed enti pubblici, da tutti i soggetti che svolgono quale attività principale trattamenti che “per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala” o che svolgono, sempre su larga scala, trattamento di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Svolge i seguenti compiti:
- informare e consigliare il titolare o il responsabile del trattamento nonché i dipendenti in merito agli obblighi derivanti dal regolamento europeo o dalle normativa nazionale in materia di protezione dei dati personali;
- verificare l’attuazione e l’applicazione del regolamento e delle altre disposizioni relative alla protezione dei dati personali, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale e i relativi audit;
- fungere da punto di contatto con il Garante della Privacy e con gli interessati, che potranno rivolgersi a lui anche per l’esercizio dei loro diritti.