Il nuovo Regolamento sulla protezione dei dati personali, obbligatorio a partire dal 25 maggio 2018, introduce significativi cambiamenti, imponendo alle aziende di adeguarsi prontamente. Quali sono le novità principali?

a cura di Carmela Miranda

Molteplici sono i cambiamenti che il nuovo Regolamento europeo apporta in materia di protezione di dati personali, dando luogo al corrispondente obbligo per le aziende e le P.A. di adeguarsi, al fine di non incorrere in pesanti sanzioni pecuniarie.

Scopriamo quali sono le più significative:

  • Responsabile della protezione dei dati (data protection officer – Dpo; art. 37): si tratta di un’inedita figura professionale la cui designazione è obbligatoria per amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie; per tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; per tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Compito fondamentale del RPD è quello di supportare il titolare del trattamento in ogni attività connessa alla protezione dei dati personali nonché quello di sorvegliare sull’osservanza del GDPR, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  • Registro dei trattamenti (record of processing activities; art. 30): tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono redigere tale registro. Si tratta di uno strumento fondamentale, non soltanto ai fini dell’eventuale supervisione da parte del Garante della Privacy, ma soprattutto perché permette di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta dell’Autorità di controllo.
  • Nuovi diritti per i soggetti interessati. Tra questi rientrano:

–   il “diritto all’oblio” (right to be forgotten; art. 17): permette di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano, laddove sussistano alcune motivazioni. Ad esempio: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati oppure l’interessato ha revocato il consenso su cui si basava il trattamento o ancora nel caso in cui i dati personali siano stati trattati illecitamente.

–   il “diritto alla portabilità dei dati” (right to data portability; art. 20): permette di ricevere i dati personali trattati da un titolare e conservarli su un supporto personale o un cloud privato in vista di un utilizzo ulteriore per scopi personali (ad esempio sarebbe possibile recuperare l’elenco dei brani musicali preferiti detenuto da un servizio di musica in streaming, per scoprire quante volte si sono ascoltati determinati brani). Non solo: tale diritto consente di trasmettere dati personali da un titolare del trattamento a un altro titolare del trattamento, ad esempio un diverso fornitore di servizi.

  • Principio di responsabilizzazione (accountability principle; art. 5 e art. 24): i titolari e i responsabili del trattamento dei dati sono tenuti, non solo, ad adottare, ma anche a dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento europeo. Costituiscono una specificazione di tale principio il quale l’obbligo di:

–   protezione dei dati personali fin dalla progettazione e per impostazione predefinita (data protection by design and by default; art. 25);

–   sicurezza del trattamento (security of processing; art. 32).

  • Fondamenti di liceità del trattamento (lawfulness of processing; art. 6): il nuovo Regolamento europeo stabilisce che il trattamento dei dati personali di un soggetto interessato è lecito solo se si fonda su un’idonea base giuridica. Questa può essere costituita, ad esempio, dal consenso dell’interessato ovvero da un contratto di cui l’interessato è parte.Cosa cambia per quanto riguarda il consenso? (art.7)
    Per i dati “sensibili” e per le decisioni basate su trattamenti automatizzati il consenso deve essere “esplicito.  Il titolare, inoltre, deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
  • Notifica al Garante della Privacy della violazione dei dati personali (notification of a personal data breach; art. 33): laddove si verifichi una violazione dei dati personali, il titolare del trattamento è tenuto a notificare l’accaduto al Garante della Privacy senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. L’obbligo decade qualora il titolare reputi improbabile che tale violazione presenti un rischio per i diritti e le libertà delle persone fisiche.
  • Valutazione d’impatto sulla protezione dei dati (data protection impact assessment – DPIA; art. 35): si tratta di una procedura, da effettuare prima di procedere al trattamento dei dati personali, che mira a valutare quali rischi questo può produrre sulla protezione dei dati personali. E’ obbligatoria in tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

 

Articoli correlati: