Manca ormai poco tempo alla fatidica data del 25 maggio 2018, giorno in cui sarà operativo il nuovo Regolamento Europeo in materia di privacy, il n. 679/2016, meglio conosciuto come GDPR.
Il nuovo set di norme ha tra i principali scopi quello di adeguare la data protection alle nuove esigenze di regolamentazione dei flussi dei dati a livello trasfrontaliero.
Il Regolamento ridisegna le figure del Titolare e Responsabile del trattamento, attribuendo loro obblighi maggiori rispetto a quanto previsto in precedenza, introducendo il principio dell’accountability e della relativa responsabilità in capo al Titolare in caso di non correttezza e inefficienza delle proprie policy adottate riguardo la privacy.
Il GDPR ha inoltre introdotto nuovi obblighi come quello di trasparenza in merito alle informazioni che devono essere rese agli interessati, in modo chiaro e semplice (art. 5 e 12), o la Privacy by design e default che impone al Titolare di adottare delle misure tecniche operative per il trattamento dei dati (art. 33 e 34).
Inoltre, di rilevo, l’introduzione della valutazione dell’impatto sulla protezione dei dati (art. 35), necessaria per valutare gli eventuali rischi di violazione dei diritti e libertà delle persone fisiche.
Chi è l’autore
L’Avvocato Giulio Graziani è socio dello studio Elexia Avvocati & Commercialisti e fornisce consulenza e assistenza, a imprese italiane ed estere, in materia di diritto commerciale e societario, nonché di trattamento dei dati personali di cui al Dlgs 196/03 e GDPR 679/16. Negli ultimi anni ha maturato una intensa esperienza nello studio delle nuove tecnologie e alle potenziali applicazioni dei sistemi di blockchain
In materia di privacy l’interessato acquisisce anche nuovi diritti, tra cui quello della portabilità dei dati, ovvero egli avrà diritto di richiedere e ricevere ai soggetti che trattano i propri dati una copia in formato che deve essere di uso comune e leggibile, e il diritto all’oblio che fino a oggi era un prodotto dell’elaborazione giurisprudenziale, dalla quale era definito come il diritto dell’individuo a essere “dimenticato” dalle banche dati, dai mezzi di informazione, o dai motori di ricerca.
Il nuovo regolamento attua il riconoscimento su base legislativa del diritto all’oblio consentendo all’interessato il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i suoi dati personali, che non siano più necessari per le finalità per le quali sono stati raccolti.
Una delle novità però che più ha richiamato l’attenzione delle imprese è quella dell’introduzione del Responsabile della Protezione dei Dati (RDP), che è più comunemente definito con un inglesismo (Data Protection Officer) e l’acronimo DPO.
L’RDP o DPO è obbligatorio quando il trattamento è effettuato da una autorità pubblica o da un organismo pubblico; le attività principali del Titolare o del Responsabile consistano in trattamenti che, per loro natura, campo di applicazione e/o finalità richiedano il controllo regolare e sistematico degli interessati su larga scala, il Titolare o il Responsabile trattino dati sensibili o giudiziari.
L’RDP deve essere designato in base alla sua professionalità e, in particolare, alla sua conoscenza e al momento no è prevista una obbligatorietà di certificazione.
La funzione dell’RDP è quella di informare e consigliare il Titolare o il Responsabile in merito agli obblighi derivanti dal Nuovo Regolamento e da altre disposizioni dell’UE, sorvegliare che il Nuovo Regolamento sia osservato, fornire, se richiesto, un parere in merito alla Valutazione d’Impatto, cooperare con l’autorità di controllo.
Infine, con il GDPR è stato inasprito il regime sanzionatorio per l’inosservanza della normativa da parte delle imprese, seguendo un approccio graduale riguardo i criteri per l’imposizione (secondo quanto riportato nell’art. 83, paragrafo 2 del GDPR) e per la determinazione dell’ammontare massimo imponibile.
In termini generali, la violazione delle disposizioni può prevedere sanzioni amministrative pecuniarie fino a 20 milioni di euro, oppure per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra.
Ugualmente l’inosservanza di un ordine da parte dell’autorità di controllo secondo quanto riportato dal GDPR all’articolo 58, paragrafo 2 prevede sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Scarica il testo completo del GDPR
Va tuttavia sottolineato che, in linea con quanto previsto dalla legislazione vigente, l’articolo 58 fornisce alle autorità di controllo l’opportunità di avvalersi di una serie di poteri correttivi.
In particolare, tra le altre cose è prevista anche la possibilità di limitare o addirittura vietare un trattamento dei dati.
È dunque chiaro che il Nuovo Regolamento imponga degli obblighi di compliance particolarmente stringenti nei confronti degli operatori che trattano dati personali.
L’adozione di uno strumento normativo come il Regolamento, che è valevole per tutta l’area UE, agevolerà l’esercizio del business di un’impresa che sarà facilitata, avendo limitato quell’incertezza giuridica derivante da normative diverse per ogni Stato e che spesso hanno rappresentato dei limiti alla crescita con necessario incremento di costi e attività burocratiche per superarli.
