The new developments for companies following the entry into force of the EU General Data Protection Regulation (Newsletter AIDP, April 2018 – Vittorio De Luca)

Il 25 maggio 2018 diventerà pienamente applicabile il Regolamento Europeo n. 679 del 2016 sulla protezione dei dati personali (“GDPR”). Ciò determinerà una uniformità della disciplina in materia di trattamento dei dati personali su tutto il territorio europeo. In tal senso, in Italia è stato approvato, in via preliminare, uno schema di decreto che abroga definitivamente il D.Lgs. 196/2003. Le novità sono molteplici. Basti osservare che le disposizioni del GDPR sono applicabili a tutte le imprese che, a prescindere dalla relativa collocazione geografica, trattano i dati di persone fisiche che si trovano all’interno dell’Unione Europea. Inoltre il GDPR propone un nuovo approccio al trattamento dei dati personali, basato sul rischio (“risk based approach”) introducendo anche il concetto di responsabilizzazione (“accountability”). In sostanza non più oneri o misure di sicurezza predefinite, ma quel che si chiede ai Titolari ed ai Responsabili del trattamento è di effettuare valutazioni ed analisi scrupolose, case by case, all’esito delle quali adottare, sempre nel rispetto delle disposizioni contenute nel GDPR medesimo, misure tecniche ed organizzative adeguate in relazione al trattamento che si intende operare ed ai rischi a cui esso è esposto. Non solo, in capo agli stessi grava l’onere di dimostrare di aver adottato misure proporzionate ed efficaci. Un’altra novità è l’introduzione del Registro delle attività di trattamento svolte. Si tratta di uno strumento che consente al Titolare e al Responsabile di avere un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione ed è indispensabile per ogni valutazione e analisi del rischio. In sostanza esso è parte integrante di un sistema di corretta gestione dei dati personali. Ed è proprio per questo che se ne consiglia la tenuta a prescindere dalle dimensioni aziendale.

Peraltro, riflette l’approccio “responsabilizzante” che permea il GDPR l’obbligo per i Titolari e i Responsabili di nominare, in casi specifici, il Responsabile della Protezione dei Dati. Questa figura deve avere precise caratteristiche, quali indipendenza, autorevolezza e competenze manageriali. Lo stesso svolge funzioni di supporto e controllo, consultive, formative e informative relative all’applicazione del GDPR nonché coopera con le Autorità di controllo e funge da punto contatto per le questioni connesse al trattamento dei dati. Inoltre, il GDPR – oltre ad aver inasprito le sanzioni – riconosce in capo al Soggetto Interessato tra gli altri, il il cd. diritto alla portabilità, alias il diritto per l’interessato, a determinate condizioni, di richiedere che i propri dati vengano trasferiti ad un altro Titolare senza impedimenti da parte del Titolare a cui inizialmente li ha forniti. Il GDPR disciplina con particolare attenzione anche l’eventuale fase patologica del trattamento, vale a dire la fase successiva ad un cosiddetto data breach, imponendo al Titolare di notificare la violazione dei dati personali alla Autorità di Controllo competente e di comunicarla al soggetto interessato. Insomma, il GDPR sembra rispondere perfettamente a quell’esigenza avvertita ormai da decenni circa la necessità di armonizzare la normativa privacy sul fronte europeo, essendo in grado di garantire la circolazione dei dati personali e la maggior certezza giuridica nell’era degli sviluppi tecnologici.