• Il Blog di Poker

Dagli addetti ai lavori è identificato con l’acronimo GDPR (“General Data Protection Regulation”) ed è il nuovo Regolamento Europeo sulla Protezione dei Dati (Regolamento UE n. 2016/679), che entrerà in vigore il 25 maggio 2018, con maggiori tutele per i cittadini e gli utenti del web, ma anche pesanti sanzioni per le aziende e le PA che violeranno le norme previste.

Obiettivi del Nuovo Regolamento

Obiettivo del Regolamento è introdurre una legislazione – in materia di protezione dei dati – uniforme e valida in tutta Europa, affrontando temi innovativi come il diritto all’oblio e alla portabilità dei dati e stabilendo anche dei criteri che, da una parte, responsabilizzano maggiormente le imprese e gli enti rispetto alla protezione dei dati personali e, dall’altra, introducono notevoli semplificazioni e sgravi per chi si conforma alle regole.

Le Novità

Ma vediamo ora di analizzare, nel dettaglio, le novità più rilevanti previste dal Regolamento.

La prima fa riferimento all’introduzione del cosiddetto Data Protection Officer (“DPO”) ossia il “Responsabile per la protezione dei dati personali”.

La figura del DPO

Il DPO dovrà essere obbligatoriamente presente all’interno di tutte le

a) aziende pubbliche nonché in tutte quelle realtà in cui i trattamenti dei dati presentino specifici rischi, come ad esempio

b) le aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli “interessati” su larga scala, nonché nelle

c) aziende che trattano i cosiddetti “dati sensibili”.

Le società facenti parte di uno stesso gruppo, a livello nazionale o transfrontaliero, potranno nominare un unico DPO, a condizione che lo stesso sia facilmente raggiungibile da ciascuna società del gruppo stesso.

Il DPO, inoltre, potrà essere un dipendente della società titolare del trattamento o, in alternativa, assolvere i propri compiti in base ad un contratto di servizi. Ad ogni modo, ogni azienda dovrà rendere noti i dati del proprio DPO – il quale dovrà essere contattabile da tutti i soggetti “interessati” – nonché comunicarli al locale “Garante per la protezione dei dati personali”.

I Compiti del DPO

Ma quali compiti sono attribuiti al DPO?

Il DPO è tenuto a:

  • informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento;
  • verificare l’attuazione e l’applicazione della normativa, oltre a sensibilizzare e formare il personale e i relativi auditors;
  • fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e a sorvegliare i relativi adempimenti;
  • fungere da punto di contatto per gli “interessati”, in merito a qualunque problematica connessa al trattamento dei loro dati nonché all’esercizio dei loro diritti;
  • fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

È bene sottolineare, inoltre, che il DPO non va confuso con la figura del Responsabile della Privacy ex art. 29 del nostro Codice della Privacy, perché mentre il DPO deve essere indipendente ed autonomo, il secondo deve agire seguendo solo e soltanto le istruzioni del titolare del trattamento.

Il Registro delle attività di trattamento

Oltre al DPO, un’altra novità di rilievo del Regolamento è l’introduzione dell’obbligo, per ogni azienda titolare del trattamento dei dati, di tenere un “registro delle attività di trattamento”, svolte sotto la propria responsabilità, nonché quello di effettuare una “valutazione di impatto sulla protezione dei dati”.

Quest’ultimo adempimento, in particolare, è richiesto ad esempio in relazione a) ai trattamenti automatizzati, ivi compresa la profilazione, o con riguardo b) ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico. Sarà ad ogni modo il Garante Privacy (per quanto riguarda il nostro Paese), a redigere e rendere pubblico l’elenco delle tipologie di trattamenti soggetti al requisito della “valutazione di impatto sulla protezione dei dati”.

Esonero delle Piccole Imprese

Va inoltre precisato che lo stesso art. 30 del Regolamento esonera dai suddetti adempimenti le piccole e medie imprese (cioè quelle con meno di 250 dipendenti), a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (sensibili) o i dati personali relativi a condanne penali.

Altre novità di rilievo introdotte dal Regolamento fanno riferimento ai concetti di “privacy by design” e “privacy by default”.

I principi di “privacy by design”, “privacy by default” e “accountability”

Il principio della “privacy by design” presuppone che il titolare del trattamento (ovvero la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali) adotti ed attui misure tecniche ed organizzative, adeguate sin dal momento della progettazione oltre che nell’esecuzione del trattamento, che tutelino i principi di protezione dei dati.

Il principio della “privacy by default” presuppone invece che il titolare del trattamento metta in atto delle misure tecniche ed organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

Oltre a questi due principi, il Regolamento prevede che il responsabile del trattamento (ossi la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento) adotti politiche e misure atte a garantire la conformità del trattamento dei dati personali allo stesso testo normativo (principio di accountability“).

Il sistema sanzionatorio

Per quanto concerne, infine, il “sistema sanzionatorio”, il Regolamento prevede che le sanzioni comminate alle aziende che violeranno le norme potranno arrivare fino al 4% del fatturato annuo dell’esercizio precedente.