Dal 25 maggio 2018 si applicherà il nuovo Regolamento europeo in materia di protezione dei dati personali, adottato il 27 aprile 2016. Il GDPR (o General Data Protection Regulation) andrà a sostituire tutte le leggi degli Stati Membri in materia e sarà direttamente applicabile, senza bisogno di essere recepita dagli Stati (diversamente dalla Direttiva 95/46/CE che, come noto, è stata recepita in Italia dal D. Lgs. 196/2003, il cosiddetto “Codice della privacy”).
Il GDPR non si applicherà solamente alle aziende con sede all’interno dell’UE, ma in generale a tutte quelle che, anche senza sedi nell’Unione, opereranno in Europa, ad esempio offrendo beni e servizi agli interessati che si trovano in UE.
Ma quali sono i cambiamenti più significativi per le aziende italiane?
Principio di Accountability
Alla base del GDPR vi è il principio di accountability, che impone il rispetto di tutti i principi del trattamento (quelli dell’art. 5, paragrafo 1), nonché la conseguente dimostrazione di averli osservati.
Quindi, le aziende dovranno mettere in atto misure tecniche e organizzative per garantire, e allo stesso tempo essere in grado di dimostrare, che il trattamento è effettuato in maniera conforme al GDPR. Inoltre, in virtù di questo principio, il titolare è tenuto fin dall’origine ad agire nel rispetto della normativa. Sintesi di questi suoi nuovi doveri sono i due principi introdotti insieme all’accountability: privacy by design e privacy by default.
La privacy by design consiste nella protezione dei dati fin “dalla progettazione”: le aziende devono progettare sistemi e applicativi tarati di regola sul principio dell’uso minimo e indispensabile dei dati personali. Non sono fornite indicazioni tecniche specifiche, ma si lascia al titolare la valutazione “caso per caso” a seconda della tipologia del trattamento, delle finalità, della natura dei dati e dei diritti/libertà in gioco.
Privacy by default significa, invece, che la tutela della protezione del dato deve diventare “l’impostazione predefinita”. In tal senso, le uniche misure espressamente citate nel GDPR sono la minimizzazione e la pseudonimizzazione.
Meno adempimenti formali, più auto (e non) certificazione
Un’altra importante novità da segnalare riguarda la diminuzione degli adempimenti formali per chi tratta dati personali: ad esempio, nel GDPR manca un istituto simile alla notificazione dei trattamenti al Garante. La notifica viene, in un certo senso, sostituita dai cosiddetti “registri del trattamento”, la cui tenuta – non sempre obbligatoria (vedi l’art. 30 del GDPR) – costituisce un obbligo sicuramente meno oneroso per i titolari del trattamento rispetto alla notifica.
Inoltre, la tenuta del registro, da parte del titolare e del responsabile, costituisce una premessa indispensabile per poter dimostrare – in caso di contestazioni e/o di controlli delle Autorità garanti – la conformità di tutti i trattamenti ai principi del GDPR.
Data Protection Officer
Il Data Protection Officer (DPO) è una delle altre novità del GDPR. Il DPO svolgerà un ruolo misto di vigilanza dei processi interni alla struttura del titolare e del responsabile, di consulenza per gli stessi, di contatto rispetto agli interessati del trattamento e alle Autorità garanti. La sua nomina è obbligatoria nei seguenti casi:
- il trattamento è svolto da autorità pubblica, salvo quella giudiziaria;
- le attività principali del titolare (o del responsabile) del trattamento consistono nel monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare (o del responsabile) del trattamento riguardano dati sensibili o giudiziari su larga scala.
Il DPO deve essere una persona fisica, tendenzialmente un dipendente del titolare o responsabile, ma potrà anche essere un soggetto esterno (vincolato da un “contratto di servizi”). Deve essere scelto in base alle sue qualità professionali, alla sua competenza in materia di protezione dei dati personali e alle sue conoscenze specialistiche della normativa e della prassi (che dovrà sempre mantenere aggiornate). Il Garante privacy circa il DPO ha affermato che: “Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali”. La normativa attuale, infatti, come ricordato dal Garante “non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali”.
