GDPR: da venerdì 25 maggio è in vigore il regolamento Europeo sulla protezione dei dati personali
L’entrata in vigore del nuovo regolamento Europeo sulla privacy è volta ad una armonizzazione comunitaria della normativa vigente sul trattamento dei dati personali. Il GDPR è uno strumento normativo di cui l’unione Europea aveva da tempo necessità di dotarsi, in quanto risulta fondamentale nel momento in cui il processo di digitalizzazione della società ha subìto una imponente accelerata dagli anni 2000. Proprio per sottolineare l’importanza di questa novità è stato scelto di utilizzare questo atto giuridico per il suo carattere vincolante e per la diretta applicabilità in ogni Stato Membro.
Cambiamenti: Passando ad osservare nel dettaglio quali sono le innovazioni portate dal GDPR rispetto alla normativa precedente, emerge come sia di centrale importanza il cosiddetto “principio di accountability”, cioè di responsabilizzazione del titolare del trattamento dei dati. Questo principio cardine impone al titolare di adoperarsi per mettere in essere pratiche organizzative adeguate ed in conformità col Regolamento. La considerevole rilevanza data dal Legislatore Europeo a questo principio è nata dall’esigenza superiore di garantire una maggiore e più incisiva protezione dei diritti degli interessati, in quanto la struttura normativa precedente prevedeva un atteggiamento reattivo e non preventivo, mostrando così profonde lacune quando si trattava di agire prima che il danno potesse realizzarsi.
Per quanto riguarda i soggetti che sono tenuti ad adempiere le previsioni normative del nuovo regolamento, sono previste varie figure oltre al citato titolare del trattamento dei dati. Al suo fianco può essere nominato uno o più responsabili per il trattamento dei dati. Essi sono persone fisiche o giuridiche che trattano i dati per conto del titolare. Questa figura può essere scelta all’interno dell’organizzazione stessa oppure nominata all’esterno, come ad esempio il cloud provider nel caso in cui la società/ente si avvalga di software cloud per l’archiviazione di dati o come un commercialista/ consulente del lavoro nel caso in cui la società si avvalga di rapporti professionali di terzi.
Accanto a questi soggetti il GDPR ha introdotto la nuova figura del Data Protection Officer (DPO), soggetto che funge da tramite tra l’organizzazione e il Garante della Privacy. Egli svolge un ruolo fondamentale oltre che di raccordo anche di supervisione interna affinché tutte le attività di trattamento dei dati siano conformi ai dettami del GDPR.
Oltre alla introduzione della figura del DPO, il regolamento prevede un ulteriore e considerevole strumento utile per la registrazione delle operazioni che vengono effettuate sui dati personali degli interessati, il registro delle attività di trattamento. Il titolare ed il responsabile del trattamento hanno l’obbligo di documentare all’interno del registro qualunque attività concernente i dati personali e di documentarvi tutte le misure prese affinché l’organizzazione sia conforme al regolamento. Il registro consente di avere sempre una mappatura ben chiara e delineata della situazione relativa ai dati dei soggetti interessati, in modo tale per cui esso possa essere facilmente consultabile in caso di necessità o su richiesta del Garante nel caso di verifiche.
Nel caso in cui il trattamento dei dati presenti elevati rischi per i diritti e le libertà delle persone interessate, il Regolamento prevede l’adempimento di una valutazione d’impatto preventiva (DPIA, data protection impact assessment), nella quale verranno inserite tutte le misure organizzative adottate per prevenire i rischi e comunicate all’autorità di controllo, di modo tale che possa esserci un intervento preventivo e tempestivo nel caso in cui le misure siano ritenute insufficienti. Sia il registro delle attività che la valutazione d’impatto sono stati ideati dal Legislatore Europeo proprio per enfatizzare il sopra citato principio di accountability del titolare del trattamento.
Sanzioni- Accanto a queste novità il GDPR inserisce anche sanzioni amministrative da alcuni ritenute decisamente pesanti, le quali avrebbero una valenza simile ad una sanzione penale. Accanto a queste sanzioni amministrative permangono le sanzioni penali del d. lgs. 196/2003 (Codice Privacy).
Quadro normativo: diversamente da come si poteva pensare in precedenza, gli ultimi sviluppi hanno portato il Legislatore Italiano a scegliere di promulgare un decreto legislativo di armonizzazione del nuovo GDPR con il vecchio Codice della Privacy, evitando di abrogarlo definitivamente come si era pensato in un primo tempo. Questa decisione può comportare come conseguenza una ulteriore confusione normativa, in quanto in questo modo si dovrebbero tenere in considerazione ben 3 testi normativi, il nuovo Regolamento, il Codice Privacy ed il decreto di raccordo tra i due testi. La decisione iniziale di abrogare definitivamente il vecchio codice sarebbe stata una soluzione che avrebbe portato più chiarezza e linearità nel sistema normativo. Un punto di notevole interesse del GDPR sono i soggetti a cui sono rivolti gli obblighi e gli adempimenti da attuare. Il Legislatore Europeo ha sostanzialmente tenuto in considerazione 3 criteri per stabilire i soggetti che devono obbligatoriamente ottemperare alle disposizioni del testo: gli obblighi riguardano le organizzazioni che hanno più di 250 dipendenti, gli enti pubblici e le imprese od organizzazioni che effettuano trattamenti dei dati rischiosi per i diritti e le libertà dell’interessato. È consigliabile comunque l’adozione di questi strumenti in quanto estremamente utili per una maggior efficienza nella gestione dei dati personali.
Giancarlo Zeccherini
 |