Regolamento 2016/679/UE (o General Data Protection Regulation – GDPR) del 16.11.2017
Con il Regolamento 2016/679/UE, altresì definito GDPR (General Data Protection Regulation), l’Unione Europea persegue l’ambizioso progetto di introdurre una normativa omogenea in tema di protezione e circolazione dei dati personali delle persone fisiche, in tutti gli Stati aderenti.
La nuova normativa abroga la precedente Direttiva 1995/46/CE e il d.lgs. 196/20013 (c.d. Codice della Privacy) sulla base dei quali fino ad oggi era stata regolata e disciplinata la materia della data protection nell’ambito del territorio nazionale.
Trattandosi di un cambiamento epocale l’Unione Europea ha deciso di posticipare l’entrare in vigore del GDPR, dando un tempo approssimativo di due anni ai soggetti interessati affinché gli stessi ne assimilino il contenuto e si adeguino ai precetti in esso stabiliti. La data ultima è il 25 maggio 2018, giorno in cui il GDPR acquisterà piena efficacia normativa, divenendo cogente e sostituendo, di fatto, le precedenti regole poste a presidio dell’integrità dei dati personali.
Pur mantenendo diversi elementi di continuità rispetto l’impostazione attuale, il GDPR introduce innumerevoli aspetti innovativi che è necessario comprendere approfonditamente al fine di non incappare nelle onerose sanzioni amministrative introdotte dall’Unione Europea per garantire l’osservanza dei diritti e delle libertà fondamentali delle persone fisiche coinvolte nei processi di trattamento dei dati personali.
- Ma quali sono le innovazioni più importanti?
Anzitutto vi è l’introduzione del principio di responsabilizzazione del titolare del trattamento (o accountability) che sostituisce l’impostazione precipua del Codice della Privacy esemplificata nel concetto di “misure minime di protezione” le quali venivano puntualmente elencate e definite dal legislatore. A far data dal 25 maggio 2018, con un netto cambio di paradigma, incomberà, invece, sul titolare del trattamento l’onere di svolgere un’ accurata analisi delle peculiarità caratterizzanti la propria organizzazione aziendale, adottando, in conseguenza, le misure tecniche ed organizzative più idonee ed efficaci al fine di garantire l’integrità e la salvaguardia dei dati personali oggetto di trattamento. Oltre a ciò spetta sempre a quest’ultimo l’obbligo di documentare accuratamente l’adozione di tali misure, nonché la loro effettiva applicazione nel contesto aziendale.
Il GDPR introduce, inoltre, la nuova figura del responsabile della protezione dei dati (o data protection officer) incaricata di svolgere un ruolo misto di consulenza e controllo per quanto concerne i processi fondamentali dell’organizzazione. Tale incarico dovrà essere affidato ad un soggetto che abbia qualità professionali specifiche, con particolare riferimento alla conoscenza della normativa e della prassi in materia di protezione dei dati oltre al possesso delle abilità necessarie per svolgere correttamente i compiti elencati in modo espresso dalla lettera del GDPR. Il responsabile della protezione dei dati sarà chiamato a svolgere un ruolo indipendente posto a presidio dei diritti fondamentali degli interessati e di ausilio al corretto adempimento delle obbligazioni cui sono chiamati a far fronte il titolare del trattamento, il responsabile del trattamento e gli incaricati del trattamento. L’attribuzione di tale ruolo ad una persona che corrisponda effettivamente ai requisiti prima menzionati, si rivela dunque oltremodo cruciale per garantire la corretta osservanza del GDPR con riferimento alle attività dell’organizzazione.
Assoluta rilevanza e innovatività costituisce anche l’introduzione della valutazione di impatto sulla protezione dei trattamenti (o data protection impact assessment) che impone al titolare del trattamento di svolgere una valutazione obbligatoria e preventiva in relazione a quei trattamenti che per loro natura, oggetto, contesto e finalità possono rappresentare un rischio elevato per l’integrità dei diritti e delle libertà delle persone fisiche. In tali circostanze si innesta l’attività di consulenza e sorveglianza del responsabile della protezione dei dati che mira a garantire il corretto svolgimento delle seguenti fasi di analisi e valutazione, perseguendo, così, il fondamentale intento di assicurare la massima tutela dei soggetti interessati dal trattamento. Oltre a ciò, in caso il titolare del trattamento ravvisi la sussistenza di un rischio residuale elevato, dovrà darne comunicazione preventiva all’autorità di controllo competente.
È inoltre previsto l’obbligo di tenuta del registro dei trattamenti per poter garantire maggiore trasparenza e dettagliare con puntualità le attività e le modalità con cui i dati delle persone fisiche sono stati trattati nell’ambito dei processi di loro raccolta e utilizzo.
Solo da queste brevi premesse, risulta già possibile cogliere la profondità e le complesse sfumature afferenti il nuovo impianto normativo europeo posto a presidio della privacy, così come appare necessario per i destinatari di tali disposizioni cogenti comprenderle quanto prima e conformarvisi, stante le elevatissime previsione sanzionatorie in caso di eventuali trasgressioni dei dettati contenuti nel GDPR. In particolare, a seconda della gravità dell’infrazione, l’autorità di controllo preposta potrà erogare sanzioni amministrative fino a 10.000.000,00 € o per le imprese, fino al 2% del loro fatturato mondiale annuo dell’esercizio precedente, se superiore, oppure, nei casi più gravi, sanzioni amministrative fino a 20.000.000,00 € o per le imprese, fino al 4% del loro fatturato mondiale annuo dell’esercizio precedente, se superiore.
Con maggio 2018 sempre più prossimo, non può che convenirsi sulla necessità indilazionabile di adeguare la propria organizzazione imprenditoriale alle previsioni contenute nel GDPR, onde evitare catastrofiche conseguenze sotto il profilo giuridico ed economico.
Per farlo si prospetta necessaria la scelta e l’affidamento a consulenti esperti, muniti delle competenze più attendibili per cautelare la propria attività imprenditoriale da eventuali lacune e carenze nel sistema di prevenzione e tutela dei dati personali.
Per qualsiasi dubbi e/o chiarimento in materia di Qualità, Vi invitiamo a contattare il nostro Studio.