Il 25 maggio scorso è entrato in vigore il nuovo Regolamento UE 2016/679 sul trattamento dei dati personali che abroga la precedente Direttiva 95/46/CE e si prefigge l’obiettivo disciplinare in modo vincolante e uniforme per tutti gli Stati membri dell’Unione europea il trattamento e la libera circolazione dei dati personali, tenendo conto di tutte le novità tecnologiche che dal ‘95 ad oggi si sono susseguite.
Il Regolamento si applicherà a partire dal 25 maggio 2018: le imprese e tutti i diretti interessati avranno quindi due anni di tempo per adeguarsi a quanto previsto in tale normativa obbligatoria in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Numerose e significative sono le novità introdotte. Le principali, di cui si vuole sottolineare l’importanza, riguardano innanzitutto l’introduzione di nuove figure nel processo di trattamento dei dati nonché la previsione di nuovi diritti, principi e obblighi in capo ai vari soggetti, elementi finalizzati a meglio tutelare la privacy degli interessati.
Ai già ben noti e saldi principi della liceità, correttezza, adeguatezza, esattezza e trasparenza del trattamento si aggiunge il principio della responsabilizzazione di colui che compie il trattamento. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento (art. 24).
Altra novità in tema di principi è quella riguardante le condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione. Il consenso dato ai fini del trattamento dei dati è lecito laddove i minori abbiano almeno 16 anni. Diversamente il consenso deve essere dato o quantomeno autorizzato dai genitori e il titolare del trattamento, tenuto conto delle tecnologie disponibili, deve adoperarsi in ogni modo ragionevole per verificare tale autorizzazione genitoriale.
In tema di diritti viene introdotto il diritto all’oblio ovvero il diritto dell’interessato alla cancellazione dei dati personali senza ingiustificato ritardo laddove i dati non siano più necessari rispetto alle finalità per le quali sono stati raccolti, a seguito della revoca unilaterale del consenso su cui si basa il trattamento.
Altro aspetto molto importante sia per le imprese sia per chi fornisce i dati è quello riguardante la portabilità dei dati, ora riconosciuta come un vero e proprio diritto. L’art. 20 afferma infatti che il proprietario ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da un dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare senza impedimenti da parte del titolare del trattamento a cui li aveva inizialmente forniti. In più l’interessato ha anche il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.
In ordine invece alle nuove figure e ai nuovi soggetti introdotti, il Regolamento prevede la possibilità di nominare più titolari del trattamento che determinano, in modo trasparente, attraverso un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi del titolare del trattamento previsti dal Regolamento stesso.
Nuova è anche la figura del responsabile della protezione dei dati, soggetto scelto e selezionato in funzione delle qualità professionali che possiede, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati. Il responsabile deve essere designato necessariamente quando il trattamento è effettuato da un’autorità o da un organismo pubblico, ovvero quando i trattamenti dei dati richiedono un monitoraggio regolare e sistematico degli interessati su larga scala o ancora quando i trattamenti riguardano dati sensibili su larga scala.
Il responsabile della protezione è sostenuto dal titolare del trattamento che gli fornisce tutte le risorse necessarie per assolvere ai suoi compiti. Gli interessati, proprietari dei dati trattati, possono contattare direttamente il responsabile della protezione dei dati per ogni questione relativa al trattamento.
Sempre in tema di sicurezza, il Regolamento non si limita all’introduzione del responsabile della protezione, ma prevede una protezione dei dati fin dalla progettazione dell’attività di trattamento. L’art. 25 pone in capo al titolare del trattamento l’obbligo di mettere in atto misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati. Questa operazione deve essere compiuta sia al momento di determinazione dei mezzi di cui ci si avvarrà per il trattamento (privacy by design), sia ovviamente durante il trattamento stesso.
A tutela preventiva e per scongiurare eventuali violazioni dei dati personali vengono poi previste due misure innovative: la valutazione d’impatto sulla protezione dei dati e la consultazione preventiva. La prima viene svolta quando un certo tipo di trattamento, utilizzando in particolare nuove tecnologie, presenta un rischio elevato per i diritti e le libertà dei soggetti interessati. La seconda è diretta conseguenza di una valutazione d’impatto che evidenzi l’esistenza di rischi: in tal caso il titolare del trattamento, prima di procedere al trattamento stesso, deve consultare l’autorità di controllo di riferimento che fornisce entro otto settimane, nel caso in cui lo ritenga opportuno, un parere scritto.
Ulteriore garanzia di sicurezza potrà poi essere fornita dalle certificazioni della protezione dei dati nonché dai marchi e dai sigilli di protezione apposti e rilasciati dai nuovi organismi di certificazione di cui gli Stati membri, la Commissione, il comitato e le autorità di controllo si impegnano a incoraggiare l’istituzione.
Infine, con gli artt. 68 e ss., viene istituito il Comitato europeo per la protezione dei dati. Tale Comitato è un organismo dell’Unione che tra i suoi compiti ha quello di garantire l’applicazione coerente del Regolamento stesso, di fornire consulenza, pubblicare linee guida, raccomandazioni e migliori prassi, di effettuare l’accreditamento di organismi di certificazione e di specificare i requisiti di cui i meccanismi di certificazione devono tener conto.
Queste sono solo alcune delle principali novità brevemente sintetizzate. Alle imprese sta ora il compito di seguire con attenzione l’evolversi della situazione e adeguarsi entro due anni al nuovo dettato normativo, pena l’applicazione delle non indifferenti sanzioni che possono arrivare fino ai 20.000.000,00 di euro ovvero, se superiore, fino al 4% del fatturato annuo.
Da: www.diritto24.ilsole24ore.com
Questo sito utilizza alcuni cookie per il suo funzionamento. Chiudendo questo banner o cliccando qualunque link sul sito acconsenti al loro utilizzo. Cookie Policy
Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.