Il 25 maggio 2018 entrerà in vigore in tutti i Paesi dell’Unione Europea il Regolamento Generale sulla Protezione dei Dati n. 2016/679 (GDPR)*, abrogando la direttiva 95/46/CE e sostituendo in parte l’attuale Codice della Privacy (d.lgs. 196/2003), oggi vigente in Italia.
L’obiettivo primario del GDPR è quello di radicare la protezione dei dati delle persone fisiche nel novero dei diritti fondamentali e, a tal fine, introduce regole più chiare in materia di informativa e consenso, riconosce nuovi diritti agli interessati (tra cui il c.d. “diritto all’oblio”), stabilisce nuovi limiti al trattamento automatizzato dei dati personali e criteri rigorosi per il trasferimento dei dati al di fuori dell’UE.
La parola chiave per imprese ed enti pubblici è “Responsabilizzazione”; il nuovo Regolamento introduce infatti il principio di accountability, per il quale il titolare del trattamento deve decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati e deve, inoltre, essere in grado di dimostrare di aver adottato misure giuridiche, organizzative e tecniche, adeguate ed efficaci per la protezione dei dati personali.
Attuazione dell’accountability è, per esempio, la nomina di un Responsabile della protezione dei dati (DPO), disciplinata dall’art. 37 del Regolamento. Si tratta di una figura con funzione consultiva, di assistenza e di vigilanza del rispetto della disciplina del regolamento Ue sulla privacy. Tra i compiti del DPO, previsti dall’art. 39, rientrano anche quelli di cooperare con l’autorità di controllo e di fungere da punto di contatto con lo stesso.
Il Responsabile della protezione dei dati, la cui designazione è obbligatoria per gli enti pubblici e per i soggetti privati che effettuano monitoraggio degli interessati su larga scala o trattano dati sensibili su larga scala, può essere un soggetto dipendente o un professionista esterno in possesso “della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Il Gruppo di lavoro articolo 29 (WP29), nelle Linee guida sui responsabili della protezione dei dati, ha chiarito che, per favorire efficienza e correttezza ed evitare il rischio di sovrapposizioni, è necessaria l’unicità della figura del DPO, che può, tuttavia, essere supportato da un team di collaboratori.
Altra novità che esprime la responsabilizzazione dei titolari nei confronti dei trattamenti da questi effettuati, è la Valutazione d’impatto sulla protezione dei dati (PIA). La Privacy Impact Assessment è un importante strumento a disposizione dei titolari del trattamento per attuare sistemi conformi alle disposizioni del regolamento europeo, che permette di valutare la necessità e la proporzionalità del trattamento e rilevare i rischi per i diritti e le libertà degli interessati, individuando le misure per affrontarli.
La realizzazione di una valutazione d'impatto sulla protezione dei dati è obbligatoria soltanto qualora il trattamento "possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche", come previsto dall’art. 35, il quale non chiarisce cosa si debba intendere per “rischio elevato” ma si limita a individuare alcune ipotesi in un elenco non esaustivo.
Per tutti i titolari e i responsabili di trattamento, ad eccezione degli organismi con meno di 250 dipendenti che non effettuano trattamenti a rischio, inoltre, è stato introdotto l’obbligo di tenere un registro delle attività di trattamento svolte.
Il registro, i cui requisiti sono elencati all’art. 30 del GDPR, dovrà essere a disposizione dell’autorità di controllo. La ratio di tale previsione è quella di dimostrare la conformità al Regolamento del titolare o del responsabile del trattamento, per i quali la redazione del registro può rappresentare anche un utile strumento di pianificazione e controllo.
Ulteriore novità introdotta dal GDPR, che interessa soprattutto le imprese, è l’obbligo di segnalazione al Garante in caso di violazione dei dati personali (data breach). L’art. 33, qualora vi sia un rischio per i diritti e le libertà delle persone fisiche, impone al titolare l’obbligo di notifica all’autorità di controllo entro 72 ore dal momento in cui viene a conoscenza della violazione. Il mancato rispetto di quest’obbligo comporta sanzioni amministrative il cui importo può arrivare fino a 10.000.000 di euro o al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Come si evince da quanto su esposto, è importante che imprese e professionisti si attivino al più presto per conformarsi alle nuove disposizioni entro il 25 maggio 2018, per non rischiare di incorrere in gravose sanzioni.

* Il regolamento Ue 2016/679 è consultabile sul sito http://eur-lex.europa.eu/legal-content/it/TXT/?uri=celex%3A32016R0679