Protezione dei dati personali – Regolamento Europeo 679/2016
Il 25 Maggio 2018 entrerà in vigore a livello europeo la nuova normativa riguardante la privacy e la protezione dei dati personali che andrà al momento ad affiancare la già applicata legge 196 del 2003 attualmente in vigore; dato il rango superiore della legge europea, questa sarà prioritaria nel caso in cui si possano riscontrare disposizioni contrastanti con il nostro testo unico attualmente in vigore.
Trattandosi di 99 articoli di legge e di ben 170 “considerando” la trattazione della materia è in costante sviluppo anche alla luce del fatto che sono attualmente in corso di definizione da parte degli organi legislativi autorevoli linee guida che permettano di ridurre il più possibile le aleatorietà di interpretazione e favorire una più rapida e certa applicazione.
Rispetto all’attuale normativa in vigore cambia l’approccio al problema: se ora vengono definite delle misure minime volte alla protezione dei dati personali/sensibili e giudiziari delle persone fisiche, con il nuovo regolamento si lascia più libertà di intervento, ma al tempo stesso si indicano i principi fondamentali che devono essere posti alla base della gestione dei dati, si richiede di documentare una analitica identificazione di tutti i trattamenti operati e stilare precisa analisi e valutazione dei rischi connessi e l’identificazione di contromisure e azioni correttive da mettere in opera al verificarsi del problema. Le sanzioni per mancata o impropria applicazione della nuova normativa sono estremamente severe.
L’applicazione del nuovo regolamento sarà obbligatorio per tutte le pubbliche amministrazioni e per tutti i privati qualora sussistano i presupposti previsti dall’ artt. 32 e seguenti come segue:
- Il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico
- Per i privati quando le attività svolte consistono in trattamenti che per loro natura richiedano il monitoraggio regolare e sistematico degli interessati su larga scala
- Per i privati le cui attività riguardano il trattamento di dati sensibili e giudiziari su larga scala.
Vanno considerati dati personali anche quelli derivanti dall’utilizzo di strumenti di videosorveglianza di zone accessibili al pubblico su larga scala; non sono al momento inclusi nel concetto di “larga scala” i dati personali che fanno riferimento a pazienti o clienti di un singolo medico, operatore sanitario o avvocato.
Anche qualora si determini che le attività poste in essere non siano incluse nell’elenco di cui sopra è richiesta la produzione di documentazione da esibire su richiesta comprovante tale scelta per cui si impone comunque un’attività di analisi accuratamente documentata.
Per tutti gli enti e le aziende la cui tipologia o attività ricade in quelle incluse per il recepimento della normativa vi sono essenzialmente i seguenti adempimenti:
- La creazione di un registro dei trattamenti per tutti i titolari (salvo le eccezioni previste dall’art. 30 comma 5 del regolamento)
- La nomina obbligatoria di un Data Protection Officer (DPO) che affiancherà le figure già eventualmente presenti del Titolare e del Responsabile del trattamento dei dati
- L’implementazione di misure di sicurezza conformi al nuovo regolamento documentabili attraverso la redazione di valutazioni di impatto sulla privacy (Privacy Impact Assessement) per ogni singolo trattamento svolto.
- La segnalazione tempestiva alle autorità competenti e agli interessati di eventuali accessi non autorizzati (data breach) rilevati durante le periodiche attività di controllo e monitoraggio o comunque univocamente riscontrabili.
E’ immediato cogliere la presenza della nuova figura del DPO che viene costituire, sia pur se nominato dal titolare del trattamento dati, una sorta di organo di controllo che deve necessariamente avere competenze specifiche in materia e che deve agire nella massima autonomia, anche come budget per interventi di aggiornamento o di adeguiamento dei sistemi informativi.
Questa figura può quindi essere un dipendente o un professionista esterno piuttosto che una società di servizi qualificata con le necessarie competenze in materia vincolata con un contratto di servizio.
Il DPO è tenuto a:
- Riferire direttamente al vertice gerarchico del titolare o del responsabile del trattamento
- Mantenere il segreto e la riservatezza in merito all’adempimento dei propri compiti
- Garantire che non si verifichino conflitti di interesse con altre attività svolte dal DPO
- Fungere da punto di contatto per gli interessati che intendono esercitare i propri diritti in materia
- Informare e fornire consulenza alle figure coinvolte nei trattamenti dei dati
- Sorvegliare l’osservanza degli obblighi e dei disciplinari stabiliti
- Coopera con l’autorità di controllo e funge da contatto anche in marito ad eventuali consultazioni preventive.
Per quanto sopra molto sinteticamente esposto è opportuno iniziare una seria valutazione delle proprie attività imprenditoriali alla luce della normativa già esistente e delle future linee guida che verranno diramate nei prossimi mesi.