Il nuovo Regolamento europeo sulla privacy (UE 2016/679) che entrerà in vigore il 25 maggio 2018 non si limita ad introdurre indubbiamente alcune significative novità rispetto all’attuale assetto normativo, ma anzitutto impone a tutti gli operatori – dai titolari ai responsabili, sino agli interessati dei trattamenti, nonché agli organismi nazionali ed internazionali coinvolti – di rivedere il proprio approccio alla tutela dei dati personali. Sulle novità introdotte da tale Regolamento Assologistica Cultura e Formazione terrà un seminario gratuito il prossimo 27 ottobre, dalle ore 14,00 alle 18,00, presso la sua sede di via Cornalia 19 (info:http://bit.ly/2yseKAP).
LE NOVITA’ PIU’ SIGNIFICATIVE
In particolare, viene codificato per la prima volta il concetto di “privacy by desiggn", che impone ai titolari dei trattamenti dei dati, pubblici o privati che siano, di adottare, sin dalla fase di progettazione dei propri processi e dei propri sistemi, le misure di tutela e le modalità operative di trattamento idonee a garantire in maniera predefinita l’utilizzo dei soli dati necessari, nonché a limitare il rischio di accesso non autorizzato ad un numero indefinito di persone senza l’intervento umano. Inoltre, viene espresso il nuovo principio di accountability, che richiede al titolare non solo il formale rispetto delle regole, ma la verifica continua e costante circa la conformità sostanziale della gestione dei dati alla normativa in vigore.
È
proprio da questo nuovo modo di vedere la privacy derivano novità assolute quali la predisposizione di un registro dei
trattamenti, che impone una mappatura seria e responsabile di tutti i
trattamenti effettuati e delle relative finalità; la conduzione di una valutazione d’impatto sulla protezione dei dati, per
il caso di trattamenti che presentano rischi elevati per i diritti e le libertà
delle persone, analogamente a quanto già avviene in materia di sicurezza con il
DVR; l’adozione di strumenti di
controllo e di garanzia del rispetto della legalità del trattamento dei dati da
parte del titolare, quali il Data Protection Officer ed il
ricorso alla certificazione.
COSA INVECE “SALVATO" DEL D.LGS. 30 GIUGNO 2003, N. 196 (CODICE DELLA PRIVACY)
Il nuovo Regolamento europeo non
rappresenta un superamento del Codice della Privacy, ma la sua
naturale evoluzione anche alla luce dell’avanzamento della tecnologia, che
ha portato ad una sostanziale dematerializzazione dei dispositivi attraverso
cui i dati personali vengono raccolti, trattati e conservati (si pensi, ad
esempio, al Cloud). Ciò conduce a un
ampliamento dello spettro dei diritti degli interessati (accanto ai diritti
“tradizionali" nasce, in primo luogo, il diritto all’oblio), ad una maggiore
immediatezza e trasparenza nella comunicazione tra titolare ed interessato,
che viene resa più immediata ed efficiente, ponendo a carico del primo precisi
obblighi, tra l’altro, in termini di tempistiche nella risposta alle varie
richieste che possano derivargli dal secondo, nonché di contenuto e modalità di
formulazione dell’informativa circa il trattamento dei dati.
Detto questo, i principi fondamentali
del Codice della Privacy restano sicuramente immutati, così come molte delle
figure di riferimento ivi disciplinate
(l’incaricato al trattamento non compare nel nuovo Regolamento europeo ma
permane tra gli attori principali del relativo procedimento) e l’impianto dei
sistemi di tutela di fronte al Garante stesso ed all’autorità giudiziaria. L’auspicio
comunque è che il Garante italiano, che ha già emanato delle linee guida e
taluni provvedimenti a chiarimento, predisponga presto una sorta di testo unico
che racchiuda in maniera organica anni di norme, provvedimenti e
giurisprudenza.
LE FIGURE PROFESSIONALI CHE SUBIRANNO
IL MAGGIOR IMPATTO
Il nuovo impianto normativo impone
all’imprenditore, in primo luogo, di condurre una vera e propria due
diligence circa i trattamenti
dei dati processati in azienda, anzitutto a livello informatico, volta a
individuare le criticità rispetto alla normativa attuale e a determinare gli
strumenti più idonei a ridurre i rischi di non compliance, seppur nel
rispetto delle esigenze del proprio business, che non può e non deve
uscirne paralizzato. Una volta
completato il privacy impact assessment iniziale, agli
imprenditori è richiesto di rivedere la propria modulistica e la documentazione
in essere, di procedere a predisporre i nuovi adempimenti richiesti dalla
legge, nonché, una volta reso virtuoso il sistema, di svolgere un’accurata attività di sensibilizzazione e formazione di
tutto il personale, in ossequio al principio di accountability di cui
si è detto.
Ingegneri, informatici, sistemisti,
legali interni ed esterni sono pertanto assai verosimilmente le figure
professionali più impattate dalle nuove disposizioni, in quanto il loro supporto sarà essenziale affinché
l’imprenditore possa attuare realmente e in maniera efficace le disposizioni
del nuovo Regolamento europeo.
A cura dell'avv. Patrizia D'Ercole (Studio Legale Dramis e Associati)