PRIVACY, GDPR: LE PRINCIPALI NOVITÀ DEL REGOLAMENTO UE
PRIVACY, GDPR: COSA CAMBIA CON IL NUOVO REGOLAMENTO UE
Introduzione
A partire dal 25 maggio 2018 è divenuto pienamente efficace il nuovo regolamento europeo in materia di protezione dei dati personali (cd. GDPR – General Data Protection Regulation), Reg. UE n. 679/2016. Com’è agevole intuire, il regolamento in questione è entrato in vigore già nel 2016, ma la sua applicabilità è stata differita di due anni al fine di consentire agli operatori giuridici ed economici di adeguarvisi – ciò che in realtà è avvenuto tempestivamente solo per pochissimi di essi.
Il legislatore europeo ha deciso di intervenire con lo strumento del regolamento al fine di armonizzare e rendere uniforme su tutto il territorio dell’Unione Europea la disciplina in materia di protezione dei dati personali, atteso che i regolamenti comunitari sono immediatamente efficaci in tutti gli Stati membri, senza che all’uopo occorra alcuna normativa che li recepisca. Il Regolamento, peraltro, si sovrappone, attualmente, alla preesistente disciplina nazionale dettata dal cd. Codice in materia di protezione dei dati personali, vale a dire il d. lgs. n. 196/2003, sul quale prevale senz’altro in caso di contrasto. Nei prossimi mesi, in ogni caso, il legislatore nazionale provvederà ad adeguare il testo del d. lgs. n. 196/2003 alle novità introdotte dal Reg. UE n. 679/2016.
Il principio di responsabilizzazione o “accountability”
Principio cardine del GDPR è quello di responsabilizzazione o “accountability”, sancito dall’art. 5, par. 2. Tutto il corpo normativo, infatti, è permeato dallo scopo di responsabilizzare chiunque tratti dati personali, inducendolo ad adottare ogni misura necessaria in funzione della tutela e corretta gestione di essi, anche tramite un sistema sanzionatorio piuttosto severo. Chiunque tratti illecitamente dati personali, infatti, oltre ad esserne responsabile sul piano civile, soggiace a sanzioni pecuniarie che nei casi più gravi possono arrivare fino a 20.000.000 (venti milioni) di euro.
Il legislatore europeo, pertanto, alla luce anche dei più recenti fatti di cronaca, ha deciso di imporre severe misure tese a responsabilizzare chiunque si trovi a trattare dati personali. Si consideri, d’altronde, come il diritto alla riservatezza sia riconosciuto dalle più elevate fonti del diritto comunitario, e precisamente dall’art. 8, par. 1, Carta dei diritti fondamentali dell’Unione Europea (“Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano”), nonché dall’art. 16, TFUE.
I soggetti principali
Il GDPR distingue diversi soggetti:
– «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio
o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del
trattamento di dati personali;
– «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio
o altro organismo che tratta dati personali per conto del titolare del trattamento; può trattarsi, ad esempio, di un’azienda o un professionista che riceve dati personali dal titolare del trattamento per svolgere un determinato compito; si immagini, in tal senso, il caso del commercialista che riceva fatture contenenti dati anagrafici e fiscali dei clienti di un’azienda; orbene, nel caso di specie, mentre l’azienda risulta essere il titolare del trattamento, il commercialista assume il ruolo di responsabile; orbene, l’aspetto più rilevante è dato dal fatto che sul responsabile grava una responsabilità propria, per quanto attiene alla gestione dei dati personali affidatigli dal titolare, sempre in quell’ottica di responsabilizzazione di cui si è detto;
– «responsabile della protezione dati»: viene nominato dal titolare e dal responsabile in determinati casi (es. trattamento di dati appartenenti a particolari categorie su larga scala) ed ha, fra l’altro, il compito di sorvegliare l’osservanza del regolamento, cooperare con l’autorità di controllo (che in Italia è l’Autorità Garante per la protezione dei dati personali), informare e fornire consulenza al titolare del trattamento o al responsabile.
Le novità principali
Tra le novità principali vi è senz’altro l’obbligo di predisposizione del registro delle attività di trattamento, obbligo gravante sul titolare del trattamento in presenza di determinati requisiti (dimensionali, ma non solo). Anche i responsabili del trattamento, peraltro, sono tenuti a tenere un proprio registro, vale a dire il Registro delle attività relative al trattamento svolte per conto di un titolare. Nel registro vanno indicate una pluralità di informazioni, analiticamente indicate dall’art. 30 del Regolamento.
Altra rilevante novità attiene al contenuto dell’informativa sulla privacy, di cui all’art. 13 del Reg. UE n. 679/2016, che risulta arricchito di una serie di informazioni aggiuntive rispetto alla vecchia informativa di cui al d. lgs. n. 196/2003. In tal senso, ad esempio, nella nuova informativa va inserita l’eventuale intenzione del titolare di trasferire dati personali a Paesi terzi o organizzazioni internazionali nonché l’indicazione del periodo di conservazione dei dati. La nuova disciplina, infatti, ribadisce in più punti come i dati personali debbano essere distrutti o anonimizzati una volta espletate le finalità per le quali sono stati raccolti, salva la presenza di ulteriori motivi legittimi per la loro conservazione. È esclusa in ogni caso, pertanto, la facoltà di conservare i dati personali a tempo indeterminato.
Ulteriore aspetto interessante è dato dalla necessità, tanto per il titolare del trattamento quanto per il responsabile, di adottare misure tecniche e organizzative adeguate a garantire il livello sicurezza opportuno rispetto al rischio, tali da comprendere, eventualmente la pseudonimizzazione e la cifratura dei dati, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità dei sistemi e dei servizi di trattamento, la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, nonché una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Siffatte misure, peraltro, è quantomeno raccomandabile che siano sommariamente descritte nello stesso registro delle attività di trattamento.
Conclusioni
Il GDPR rappresenta un significativo passo in avanti nell’ottica di una tutela sempre maggiore della riservatezza dei dati personali, specie avendo riguardo all’ormai acclarato rilievo economico di essi. In un’epoca nella quale ormai i “social network” ed internet consentono di far viaggiare le informazioni in tutto il mondo ed in via immediata, la protezione dei dati personali appare sempre più un’esigenza primaria. Qualche dubbio, tuttavia, pare lecito nutrirlo in merito all’opportunità di estendere oneri e sanzioni rilevanti anche a carico di piccole imprese e professionisti, atteso che l’impatto di tali soggetti sulla gestione ed il traffico dei dati personali su larga scala appare sostanzialmente insignificante.
In ogni caso, attese le numerose novità introdotte e le rilevanti responsabilità poste a carico di chiunque si trovi a trattare dati personali, appare assai opportuno adeguarsi rapidamente al contenuto del regolamento, auspicabilmente avvalendosi di una consulenza qualificata, onde scongiurare qualsiasi rischio.
Avv. Nicola Sansone
Contatta lo Studio per maggiori informazioni
Chiedi un parere online in materia di protezione dei dati personali e adempimenti derivanti dal GDPR
Torna agli articoli
Torna alla Home