In seguito all’accordo raggiunto in data 15 dicembre 2015 per il nuovo Regolamento Europeo sulla protezione dei dati personali, che sostituirà a livello nazionale il codice Privacy, è stato pubblicato il 27 aprile il “Regolamento sul Trattamento dei dati personali“, che introduce novità anche significative riguardanti i soggetti titolari e responsabili del trattamento e della salvaguardia dei dati personali e che avrà entrata in vigore formale a venti giorni dalla pubblicazione in Gazzetta Ufficiale.
La precedente direttiva madre Europea 95/46/CE è stata abrogata dal nuovo Regolamento Europeo (UE 2016/679) pubblicato in Gazzetta Ufficiale del 4 maggio 2016. Il regolamento è immediatamente esecutivo e sarà quindi adottato senza necessità di recepimento da parte dei 28 stati membri europei contemporaneamente.
A partire dalla data di entrata in vigore del provvedimento, le aziende italiane avranno due anni di tempo per adeguarsi, con termine ultimo che sarà quindi il 25 maggio 2018.
L’immediata applicabilità delle nuove disposizioni rende obsolete le misure in vigore a esse incompatibili, negli stati interessati. Quindi l’attuale Codice della Privacy (Decreto Legislativo 196/2003) è già oggetto di accurata verifica da parte del garante che sta valutando quali e quante misure saranno destinate a essere soppiantate dalla normativa comunitaria perché non più applicabili.
La necessità di una revisione del codice armonizzato a livello Europeo si rende necessaria, come sottolineato all’interno del documento stesso, a causa della velocità con cui si sviluppano nuove tecnologie digitali che prevedono la trasmissione al gestore di dati personali e che comportano nuove sfide, anche normative, rivolte a regolamentare un mercato in piena fase di espansione all’interno del quale è indispensabile rafforzare un clima di fiducia per favorire lo sviluppo dell’economia digitale.
Le novità introdotte dal nuovo regolamento sono finalizzate a creare un sostegno coerente e omogeneo che garantisca alle persone fisiche il controllo sui propri dati personali, consentendo al tempo stesso la tutela giuridica e la libertà di movimento necessaria per evitare di ingessare eccessivamente il sistema.
La normativa comunitaria sollecita comunque gli stati membri a sviluppare al loro interno misure locali, consentendo un certo margine di indipendenza, che siano rivolte a coprire situazioni specifiche per determinate categorie di dati personali (dati sensibili). Precisando che gli stati membri dovrebbero restare liberi di legiferare regole nazionali per esempio in materia di dati relativi all’esecuzione di attività di interesse pubblico (o connessa all’esercizio di poteri pubblici) o per gli adempimenti di carattere legale.
Il regolamento quindi introduce nuove forme di tutela, illustrate nei 99 articoli che lo compongono, e di conseguenza nuovi obblighi in carico ai Responsabili del Trattamento dei Dati (capo IV) con le seguenti principali novità:
- Il diritto all’oblio (articolo 17) consentirà a un individuo di richiedere la cancellazione di tutti i propri dati personali trasmessi ad un titolare, adducendo motivazioni legittime, anche in tema di profilazione dei dati.
- Il diritto alla portabilità dei dati (articolo 20) permette di trasferire i propri dati da un gestore e/o fornitore a un altro.
- Il principio dell’accountability (articolo 24 e articolo 28) obbligherà Titolari e Responsabili a dover dimostrare di avere adeguatamente sviluppato tutte le misure tecniche ed organizzative necessarie alla protezione dei dati, che avranno anche l’onere di elaborare e di conservare la documentazione relativa all’adozione del “modello organizzativo e di sicurezza privacy”.
- Sarà obbligatorio per le imprese nominare un “Responsabile del Trattamento dei Dati” (Privacy Officier) in possesso dei requisiti normativi introdotti dal nuovo regolamento e che dovrà essere istruito dal datore di Lavoro e che non potrà ricorrere a nessun’altra figura senza esplicita autorizzazione a farlo.
- Viene, inoltre, sancito (articolo 35) che nel caso si preveda di dover utilizzare i dati per trattamenti che comportino un rischio elevato per i diritti e le libertà individuali si debba eseguire una valutazione di impatto sulla protezione dei dati, consultando preventivamente l’autorità nazionale preposta alla tutela.
- Gli articoli dal 44 al 50 disciplinano il delicato tema del trasferimento dei dati verso un paese terzo o una organizzazione internazionale; ponendo dei limiti che riguardano le garanzie offerte del paese destinatario dei dati in materia di protezione che dovranno essere valutate da parte della Commissione Europea (per esempio relativamente al rispetto dei diritti umani e delle libertà fondamentali, l’esistenza di una autorità di controllo e gli impegni assunti in materia di privacy).
- Gli articoli dal 77 all’84 infine definiscono le facoltà di poter proporre reclami e ricorsi da parte degli utenti nei confronti delle autorità nazionale ed internazionali, e l’eventuale successivo diritto ad ottenere risarcimenti per danni materiali ed immateriali.
Info: Regolamento UE trattamento dati personali 2016/679
Corsi sulla sicurezza sul lavoro. Registrati subito