Il nuovo Regolamento Europeo sulla protezione dei dati

La necessità di armonizzare il quadro normativo tra gli stati membri dell’Unione Europea e l’evoluzione tecnologica, che ha modificato le modalità di raccolta e trattamento dei dati personali, hanno portato all’emanazione del nuovo Regolamento Europeo in materia di privacy.

Il regolamento europeo sulla protezione dei dati personali, approvato il 15 Dicembre 2015, obbliga i paesi membri a nominare un responsabile per la privacy nelle PA. Il nuovo regolamento prende il posto dell’attuale Codice Privacy . Entrerà in vigore (Dlgs 196/2003) entro il primo semestre 2016 e non richiederà l’obbligo di recepimento da parte degli Stati membri per essere esecutivo.

I soggetti coinvolti dal regolamento

Le norme interesseranno tutti quei soggetti che sono chiamati a trattare, in modo automatico o meno, i dati relativi ai clienti, ai dipendenti, agli studenti, agli utenti e ai fornitori. Le aziende e gli enti avranno due anni a partire dalla prossima primavera 2016 per l’ effettivo adeguamento alle nuove normative.

Cosa cambia: la documentazione e l’informazione

Le aziende dovranno elaborare un sistema documentale di gestione della privacy contenente tutti gli atti, aggiornati, elaborati per soddisfare i requisiti di conformità al Regolamento. E’ obbligatorio istituire un registro del trattamenti dei dati.

Tra le novità più rilevanti del nuovo Regolamento c’è l’introduzione dei concetti di privacy by designprivacy by default: qualsiasi sistema di trattamento dovrà, a partire dalla progettazione e per l’intero ciclo di vita del trattamento stesso, garantire la sicurezza e la riservatezza dei dati personali.

Vengono inoltre introdotti nuovi adempimenti quale l’obbligatorietà della valutazione d’impatto sulla protezione dei dati personali (Privacy Impact Assessment) e della notifica all’Autorità Garante e agli stessi utenti in determinati casi di violazione dei dati.

Cosa cambia: il consenso dei dati personali

Vediamo le quattro caratteristiche essenziali del consenso per l’uso dei dati a fini commerciali. Sarà valida qualsiasi manifestazione di volontà:

  1. libera;
  2. specifica;
  3. informata;
  4. inequivocabile.

Non è più richiesto il requisito del consenso espresso se non per le attività di profilazione. Si aprono spazi più ampi per la raccolta di un consenso manifestato attraverso i comportamenti positivi dell’interessato.

Il Data Protection Officer: il responsabile per la protezione dei dati

Per aiutare le aziende nella gestione di questi adempimenti il Regolamento introduce una nuova figura professionale, già presente in alcune legislazioni europee da oltre 10 anni, il Data Protecion Officier (DPO).

Questa figura, che potrà essere un soggetto interno all’azienda oppure nominato all’esterno, dovrà avere competenze nell’analisi dei processi, nel risk management e elevate conoscenze informatiche.

I compiti del DPO

Vediamo in dettaglio i compiti del Data protection officer, definito dal nuovo regolamento europeo sulla privacy:

  • informare e consigliare il Responsabile del trattamento ( ora Titolare del trattamento ) o l’incaricato del trattamento (ora Responsabile o incaricato) in merito agli obblighi derivanti dal Regolamento e conservare la documentazione relativa a tale attività e alle risposte ricevute;
  • sorvegliare l’attuazione e l’applicazione delle politiche del Responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
  • garantire la conservazione della documentazione prevista per alcuni Responsabili di trattamento, documenti quali (elenco interessati – finalità del trattamento – contatto privacy in azienda ecc.);
  • controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (Data Breach);
  • controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva quando prevista (es. dati sanitari – videosorveglianza su larga scala – abitudini o scelte di consumo);
  • controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa.

Il suo compito principale sarà quello di organizzare e controllare la gestione del trattamento dei dati personali in modo tale che essa avvenga nel rispetto delle normative.

Il nuovo regolamento europeo sulla privacy: le conclusioni

Il nuovo Regolamento europeo sulla protezione dei dati personali, approvato il 15 Dicembre 2015 non prevede solo ulteriori adempimenti ma anche semplificazioni burocratiche, volte a limitare i costi e per favorire la crescita delle piccole e medie imprese nel commercio elettronico. La stessa figura del Data Protection Officer sarà facoltativa in assenza di trattamenti sensibili.

Al fine di accompagnare aziende ed enti pubblici al nuovo Regolamento europeo, il Garante Italiano della Privacy emanerà provvedimenti intermedi, fermo restando la validità sino allora della normativa attuale.


Andrea Ruffinazzi