Regolamento europeo sulla privacy, dal 24/5/2018 si volta pagina

Il nuovo Regolamento europeo sulla privacy (UE 2016/679) che entrerà in vigore il 25 maggio 2018 non si limita ad introdurre indubbiamente alcune significative novità rispetto all’attuale assetto normativo, ma anzitutto impone a tutti gli operatori – dai titolari ai responsabili, sino agli interessati dei trattamenti, nonché agli organismi nazionali ed internazionali coinvolti – di rivedere il proprio approccio alla tutela dei dati personali. Sulle novità introdotte da tale Regolamento Assologistica Cultura e Formazione terrà un seminario gratuito il prossimo 27 ottobre, dalle ore 14,00 alle 18,00, presso la sua sede di via Cornalia 19 (info:http://bit.ly/2yseKAP).

LE NOVITA’ PIU’ SIGNIFICATIVE

In particolare, viene codificato per la prima volta il concetto di “privacy by desiggn", che impone ai titolari dei trattamenti dei dati, pubblici o privati che siano, di adottare, sin dalla fase di progettazione dei propri processi e dei propri sistemi, le misure di tutela e le modalità operative di trattamento idonee a garantire in maniera predefinita l’utilizzo dei soli dati necessari, nonché a limitare il rischio di accesso non autorizzato ad un numero indefinito di persone senza l’intervento umano. Inoltre, viene espresso il nuovo principio di accountability, che richiede al titolare non solo il formale rispetto delle regole, ma la verifica continua e costante circa la conformità sostanziale della gestione dei dati alla normativa in vigore.

È proprio da questo nuovo modo di vedere la privacy derivano novità assolute quali la predisposizione di un registro dei trattamenti, che impone una mappatura seria e responsabile di tutti i trattamenti effettuati e delle relative finalità; la conduzione di una valutazione d’impatto sulla protezione dei dati, per il caso di trattamenti che presentano rischi elevati per i diritti e le libertà delle persone, analogamente a quanto già avviene in materia di sicurezza con il DVR; l’adozione di strumenti di controllo e di garanzia del rispetto della legalità del trattamento dei dati da parte del titolare, quali il Data Protection Officer ed il ricorso alla certificazione.

COSA INVECE “SALVATO" DEL D.LGS. 30 GIUGNO 2003, N. 196 (CODICE DELLA PRIVACY)

Il nuovo Regolamento europeo non rappresenta un superamento del Codice della Privacy, ma la sua naturale evoluzione anche alla luce dell’avanzamento della tecnologia, che ha portato ad una sostanziale dematerializzazione dei dispositivi attraverso cui i dati personali vengono raccolti, trattati e conservati (si pensi, ad esempio, al Cloud). Ciò conduce a un ampliamento dello spettro dei diritti degli interessati (accanto ai diritti “tradizionali" nasce, in primo luogo, il diritto all’oblio), ad una maggiore immediatezza e trasparenza nella comunicazione tra titolare ed interessato, che viene resa più immediata ed efficiente, ponendo a carico del primo precisi obblighi, tra l’altro, in termini di tempistiche nella risposta alle varie richieste che possano derivargli dal secondo, nonché di contenuto e modalità di formulazione dell’informativa circa il trattamento dei dati.

Detto questo, i principi fondamentali del Codice della Privacy restano sicuramente immutati, così come molte delle figure di riferimento ivi disciplinate (l’incaricato al trattamento non compare nel nuovo Regolamento europeo ma permane tra gli attori principali del relativo procedimento) e l’impianto dei sistemi di tutela di fronte al Garante stesso ed all’autorità giudiziaria. L’auspicio comunque è che il Garante italiano, che ha già emanato delle linee guida e taluni provvedimenti a chiarimento, predisponga presto una sorta di testo unico che racchiuda in maniera organica anni di norme, provvedimenti e giurisprudenza.

LE FIGURE PROFESSIONALI CHE SUBIRANNO IL MAGGIOR IMPATTO

Il nuovo impianto normativo impone all’imprenditore, in primo luogo, di condurre una vera e propria due diligence circa i trattamenti dei dati processati in azienda, anzitutto a livello informatico, volta a individuare le criticità rispetto alla normativa attuale e a determinare gli strumenti più idonei a ridurre i rischi di non compliance, seppur nel rispetto delle esigenze del proprio business, che non può e non deve uscirne paralizzato. Una volta completato il privacy impact assessment iniziale, agli imprenditori è richiesto di rivedere la propria modulistica e la documentazione in essere, di procedere a predisporre i nuovi adempimenti richiesti dalla legge, nonché, una volta reso virtuoso il sistema, di svolgere un’accurata attività di sensibilizzazione e formazione di tutto il personale, in ossequio al principio di accountability di cui si è detto.

Ingegneri, informatici, sistemisti, legali interni ed esterni sono pertanto assai verosimilmente le figure professionali più impattate dalle nuove disposizioni, in quanto il loro supporto sarà essenziale affinché l’imprenditore possa attuare realmente e in maniera efficace le disposizioni del nuovo Regolamento europeo.

A cura dell'avv. Patrizia D'Ercole (Studio Legale Dramis e Associati)