La “Privacy Europea”: il Regolamento UE 2016/679

Il 25 maggio del 2018 entra in vigore il nuovo Regolamento n. 679/2016 in materia di protezione dei dati personali (Privacy).

Per quanto riguarda il nostro Paese, il nuovo Regolamento va a sostituire, almeno in parte, il Codice Privacy del 2004. In merito al campo di applicazione, il Regolamento si riferisce al trattamento dei dati personali delle persone fisiche. Le figure soggettive privacy rimangono, nella sostanza, inalterate ma vengono introdotti degli obblighi organizzativi nuovi con riferimento ai loro ruoli e alle funzioni: il Responsabile del trattamento dei dati, figura facoltativa nel Codice della privacy, diventa obbligatoria e la sua nomina va documentata con un contratto o atto giuridico. L’accesso ai dati personali e il trattamento degli stessi da parte del Responsabile è subordinato alla partecipazione a specifici corsi sulla privacy. Ciò che rappresenta una novità è l’introduzione del ruolo di Data Protection Officer (Responsabile della protezione dei dati).

Sussiste un obbligo di nomina del Responsabile della protezione dei dati in questi casi:

  1. quando il trattamento venga svolto da un’autorità (con esclusione di quelle giurisdizionali) o da un organismo pubblico;
  2. quando si riferisca a trattamenti che necessitano il monitoraggio regolare e sistematico degli interessati ad ampio raggio;
  3. quando il trattamento riguardi, ad ampio raggio, informazioni e dati sensibili, ma anche quelli sanitari e personali in generale (come dati sulla vita o sull’orientamento sessuale, biometrici o sul casellario giudiziale).

Il ruolo del Data Protection Officer può essere svolto da un soggetto designato che possa essere tanto un dipendente del titolare del trattamento ma anche un consulente esterno appositamente nominato con idoneo contratto per l’attività da compiere.

Il Responsabile della protezione dei dati deve essere individuato sulla base delle sue peculiari qualità professionali e specializzazione in materia di privacy.

Ulteriore novità introdotta con il nuovo regolamento, è quella inerente all’obbligo di redazione e detenzione del Registro generale delle attività di trattamento svolte. L’imposizione è diretta alle imprese e organizzazioni aventi più di 250 dipendenti. Consiste nell’obbligo, indirizzato sia al titolare che al responsabile del trattamento, di redigere il Registro delle attività di trattamento e di esibizione dello stesso su richiesta del Garante Privacy. L’obbligo, consiste nell’attività di conservazione dei documenti di tutti i trattamenti dei dati realizzati di cui si è titolari o responsabili ed è previsto anche per le imprese aventi meno di 250 dipendenti qualora il trattamento:

1) presenti un rischio per i diritti e libertà del diretto interessato

2) non sia occasionale ed includa dati personali sensibili, sanitari, sulla vita, sulla storia giudiziaria passata, sull’orientamento sessuale, su dati biometrici o genetici.

Altra introduzione di rilievo è rappresentata principio della privacy impact assessment (P.I.A.)Vi si fa riferimento soprattutto nei casi di utilizzo di nuove tecnologie o, comunque, in tutti quei casi in cui vi sia un rischio elevato per i diritti e libertà delle singole persone.

In questi casi, il titolare del trattamento deve, prima di procedere e confrontandosi, qualora vi sia, con il Data Protection Officer, effettuare una valutazione preventiva dell’impatto che può avere il trattamento sulla protezione dei dati personali.

Di nuova applicazione sono anche gli obblighi relativi al principio della privacy by design e della privacy by defaultNel primo caso, l’interessato al trattamento deve prendere in considerazione, oltre alle normali attenzioni del caso, di attuare misure tecniche e organizzative adeguate per proteggere i dati oggetto del trattamento e, qualora fosse necessario, provvedere a integrare ulteriormente le tutele a garanzia dei diritti del soggetto. Il principio del privacy by default si riferisce a misure tecniche e organizzative adeguate che devono essere applicate al fine di garantire che vengano trattati solo ed esclusivamente i dati personali necessari al singolo scopo del trattamento.

L’obbligo di notificare l’avvenuta violazione dei dati personali (Data Breach) viene, con il nuovo regolamento, estesa a tutti i titolari del trattamento (prima riservato solamente ai fornitori di servizi di comunicazione elettronica accessibili al pubblico).

Laddove si registri la violazione dei dati personali, il titolare del trattamento deve curare la notifica della violazione al Garante in breve tempo, se possibile entro 72 ore da quando ne ha avuto cognizione, o comunque non deve rilevare alcun ingiustificato ritardo.

Superate le 72 ore, oltre alla notifica, il titolare dovrà curare la redazione delle motivazioni che ne hanno determinato il ritardo.

Sul piano sanzionatorio, permane la responsabilità che dà origine al risarcimento per il cosiddetto “danno da trattamento”. E’ l’art. 82 che prevede più nello specifico la disciplina prescrivendo che chiunque subisca nocumento a seguito di violazione del Regolamento n. 2016/679, ha diritto ad un risarcimento del danno da parte del titolare o dal responsabile del trattamento.

In tema di sanzioni amministrative pecuniarie irrogate dal Garante, il successivo art. 83 del Regolamento 2016/679 si occupa di stabilire le condizioni per la determinazione delle sanzioni e fissa importi specifici distinguendo tra:

  1. sanzioni amministrative pecuniarie fino a € 10.000 (o, per le aziendefino al 2 % del fatturato mondiale totale annuo dell’anno antecedente), per la violazione di specifici obblighi imposti dal nuovo Regolamento;
  2. sanzioni amministrative pecuniarie fino a € 20.000(o, per le aziendefino al 4 % del fatturato mondiale totale annuo dell’anno antecedente), per la violazione di più rigidi obblighi imposti dal nuovo Regolamento o per il mancato rispetto degli ordini dettati dal Garante.

In ambito penale, vige la competenza del singolo stato data l’impossibilità di una previsione del diritto dell’Unione Europea.

FONTE: