Si avvicina la scadenza del 25 maggio 2018, giorno in cui diverrà applicabile il Regolamento UE 679/2016 in materia di Privacy, meglio noto come GDPR (General Data Protection Regulation) .
Il GDPR segna l’evoluzione dal diritto alla privacy al diritto di disporre dei propri dati personali e ha reso possibile l’aggiornamento della normativa alla nuova realtà dei social network e dei motori di ricerca. Come ha dichiarato il Vicesegretario Generale del Garante per la protezione di dati personali, nel corso del convegno dell’11 aprile 2018, tenutosi presso la sede di Asseprim Confcommercio Milano: “lo scopo del Regolamento è quello di rafforzare diritti e obblighi in un contesto aggiornato alle nuove tecnologie”. Il Dott. De Paoli ha anche aggiunto che la nuova normativa non deve preoccupare tutti coloro che trattano dati personali, poiché, nella sostanza e nei principi ispiratori, la normativa europea non differisce da quella italiana attualmente vigente (Codice della Privacy, D.Lgs 196/2003).
Per trattamento si intende: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta la registrazione, l’organizzazione, la struttura, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” e per dato personale, si intende qualsiasi informazione riguardante la persona fisica identificata o identificabile (interessato). Una persona fisica può essere identificata, ad esempio, attraverso il nome e cognome, un indirizzo, un identificativo on line ecc.
Il Regolamento UE rappresenta anche lo strumento giuridico più idoneo a garantire un livello di protezione uniforme all’interno dell’Unione Europea, essendo direttamente applicabile in tutti gli Stati Membri e ha risposto all’esigenza di creare disposizioni quanto più uniformi possibili all’interno dell’Europa, considerato che le aziende operano spesso in contesti internazionali, anche se alcuni aspetti di dettaglio sono lasciati liberi alla legislazione nazionale.
Le principali novità del GDPR, a parere di chi scrive, sono:
- Il Regolamento si applica in caso di trattamento di dati personali operato all’interno dell’Unione Europea da pubbliche amministrazioni o privati. Riguarda tutti i tipi di dati di persone fisiche, con esclusione delle persone giuridiche. Ciò che rileva, dunque, è che il dato sia trattato all’interno dell’Unione, a prescindere dal luogo di residenza/domicilio dell’interessato e purché questo sia una persona fisica. Ciò anche perché, il diritto alla protezione dei dati personali, viene inquadrato all’interno dei diritti fondamentali dell’individuo.
- L’informativa sul trattamento dei dati personali deve essere aggiornata ai nuovi requisiti e, in particolare, deve indicare la fonte di liceità del trattamento (se effettuato in base ad un contratto, ad un obbligo di legge ad esempio), deve indicare le finalità del trattamento, i tempi di conservazione dei dati e le informazioni di contatto del Titolare del Trattamento, per facilitare l’esercizio dei diritti ed un eventuale revoca del consenso.
- Occorre nominare un Responsabile del Trattamento, esterno all’azienda, il quale tratta i dati per conto del Titolare ed è con lui solidalmente responsabile. La nomina deve essere fatta con apposito contratto, contenente le indicazioni date dal Titolare circa le modalità e finalità del trattamento, la possibilità di subdelegare terzi ecc.
- Occorre nominare un DPO “Data Protection Officer” o Responsabile della protezione dei dati personali, che svolge la funzione di “Garante” all’interno dell’azienda. La nomina è obbligatoria per coloro che trattano dati sensibili su larga scala, la cui definizione non è univoca Di sicuro, il trattamento è “su larga scala” in caso si faccia uso di geolocalizzazione o app.
- Occorre definire il registro dei trattamento, che costituisce un vero e proprio censimento dei trattamenti effettuati. Nel registro devono essere indicati, tra gli altri, le modalità di trattamento, la tipologia di dato trattato, le misure di sicurezza adottate, i tempi di conservazione
Il decreto legislativo che dovrà coordinare le disposizioni nazionali attualmente in vigore (Codice della Privacy D.Lgs 196/2003) con quelle europee (Regolamento Europeo 679/2016, GDPR) non è ancora stato emanato, seguiranno, pertanto aggiornamenti e approfondimenti.