Il nuovo Regolamento Europeo sulla privacy è operativo

Lo scorso 25 maggio 2018 è divenuto pienamente operativo, a due anni dall’entrata in vigore, il nuovo Regolamento europeo sulla protezione dei dati personali (RGDP n. 679/2016) che andrà a sostituire (e, in parte, integrare) la precedente normativa; il Garante nazionale ha già pubblicato, in merito, delle utili Linee Guida.

Vediamo, in breve, quali sono le principali novità introdotte, che coinvolgeranno soprattutto le aziende.

Anzitutto, il principio fondante della riforma è la responsabilizzazione del soggetto che effettua il trattamento. L’azienda potrà infatti decidere, in modo “autonomo”, con quali modalità e garanzie utilizzare i dati, tuttavia, sarà poi chiamata a rispondere del proprio operato (rischiando anche pesanti sanzioni) e a dimostrare di aver adottato, sin dall’inizio, misure di sicurezza adeguate (e non più soltanto “minime”), al fine di proteggere i dati nel modo più efficace possibile.

Un ruolo centrale riveste ancora il consenso dell’interessato, specialmente per quanto riguarda il trattamento dei dati sensibili; il consenso dev’essere esplicito, libero, informato ed inequivocabile.

Anche l’informativa – che deve sempre essere chiara, semplice e trasparente – viene in parte rivista; i contenuti sono elencati in modo tassativo e, tra i vari elementi da inserire, oltre alla base giuridica del trattamento ed al periodo di conservazione dei dati, troviamo la specificazione dei dati di contatto del Responsabile della Protezione dei dati o DPO (una nuova figura con funzioni di supporto e controllo relativamente all’applicazione del Regolamento; la sua nomina sarà obbligatoria soprattutto per i soggetti che svolgono un monitoraggio sistematico e su larga scala).

Fondamentali risultano inoltre la valutazione preventiva di impatto (un’analisi prudenziale dei possibili rischi inerenti al trattamento e delle misure finalizzate a contenere tali rischi) ed il Registro dei trattamenti (un documento che contiene un quadro aggiornato delle operazioni, obbligatorio per i soggetti con più di 250 dipendenti o che comunque effettuano trattamenti particolarmente rischiosi).

Interessante, infine, l’introduzione del concetto di “data breach notification”, ossia la necessità di segnalare al Garante, entro un breve termine, le violazioni della sicurezza che possano comportare una perdita/diffusione accidentale o illegittima dei dati trattati; anche in questo caso, però, sarà l’azienda a valutare – assumendosene la responsabilità – se vi sia un effettivo rischio per i diritti dell’interessato e a decidere se effettuare la comunicazione o meno.