Salta al contenuto principale

È stato pubblicato sulla Gazzetta ufficiale n. 205 del 4 settembre 2018 il Decreto legislativo 10 agosto 2018, n. 101 per l’adeguamento della normativa nazionale D.Lgs. 196/03 alle disposizioni del Regolamento (UE) 2016/679.

L’entrata in vigore del provvedimento è prevista per il 19 settembre 2018.

per informazioni contatta lo Studio

 

GDPR: Il nuovo Regolamento UE sulla protezione dei dati personali 2016/679

Il 25 maggio 2016 è entrato in vigore il nuovo Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che va ad abrogare la direttiva 95/46/CE (“Regolamento generale sulla protezione dei dati”) sulla protezione dati personali e andrà a sostituire l’attuale Codice sulla Privacy (Dlgs 196/2003) oggi vigente in Italia.

In Italia questo ruolo sarà ancora gestito dal Garante della Privacy. Il Regolamento diventerà immediatamente applicabile senza bisogno di essere recepito con provvedimenti nazionali; avremo quindi un testo unico valido in tutti i paesi UE che mirerà a rendere omogeneo ed elevato il livello di protezione dei dati personali e a favorire la circolazione degli stessi all’interno dell’Unione Europea. Agli Stati Membri dell’Unione rimarrà comunque la possibilità di introdurre ulteriori regole e condizioni.

Il Regolamento è diventato obbligatorio dal 25 maggio 2018.

Le imprese devono adottare i cambiamenti necessari al fine di adeguarsi al nuovo Regolamento, dotandosi di strumenti attuativi ed operativi per raggiungere l’obiettivo di ridurre l’eventuale impatto delle sanzioni applicabili.

Rispetto al D.Lgs. 196/2003, il nuovo Regolamento obbliga ad una maggiore attenzione e ad una maggiore trasparenza verso gli interessati; questo implica che ogni organizzazione deve avviare le necessarie modifiche ai processi e ai sistemi interni, analizzando attentamente lo stato attuale.

Il Regolamento raccomanda l’elaborazione e l’adozione di Codici di Condotta; i Codici di Condotta hanno caratteristiche simili a quelle dei Codici Deontologici che oggi appartengono al D.Lgs. 196/2003. Inoltre incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dati, allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati; la certificazione deve essere rilasciata da organismi accreditati e in possesso di un adeguato livello di competenze sulla base di un meccanismo di certificazione approvato.

Le attività che ogni singola impresa dovrà svolgere per l’adeguamento legislativo dipenderanno da diversi fattori: saranno legate alla specificità del settore in cui opera l’organizzazione, al tipo di clientela, alla tipologia dei dati trattati, alle modalità di trattamento, alla obbligatorietà di dotarsi della professionalità di un DPO - Data Protection Officer (Responsabile della Protezione Dati Personali) nei casi previsti dal Regolamento.

I cittadini avranno a disposizione modelli di informativa trasparenti, facilmente comprensibili in tutte le varie lingue e avranno il diritto di essere informati se i loro dati, affidati per il trattamento a titolari, sono stati violati in qualche modo. 

 

I TESTI PUBBLICATI SULLA GAZZETTA UFFICIALE UE IL 4 MAGGIO 2016

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio

 

LA STORIA DEL PACCHETTO PROTEZIONE DATI

Nel gennaio 2012 la Commissione europea ha presentato ufficialmente il cosiddetto "pacchetto protezione dati" con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia nell'Ue.

Esso si compone di due diversi strumenti:

• una proposta di Regolamento concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la Direttiva 95/46

• una proposta di Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all'esecuzione delle sanzioni penali, che sostituirà (ed integrerà) la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l'Italia non ha, peraltro, ancora attuato).

L'iter per l'approvazione definitiva dei due nuovi strumenti normativi comporta l'intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di "codecisione" (ora definita dal Trattato di Lisbona "procedura legislativa").

Il 18 dicembre 2015 è stato raggiunto un accordo sul testo del Regolamento e della Direttiva. Vedi il comunicato del Consiglio europeo del 18 dicembre 2015.

Il 14 aprile 2016 la plenaria del Parlamento Europeo ha adottato in seconda lettura i testi di Regolamento e Direttiva come approvati dal Consiglio. Vedi comunicato stampa del 14 aprile 2016.

Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Vedi il comunicato stampa del 4 maggio 2016.

Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva, che dovrà essere recepita dagli Stati membri entro 2 anni. Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento, che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018. Vedi il comunicato stampa del 24 maggio 2016.

 

Chi è il Responsabile della Protezione dei Dati personali (anche conosciuto con la dizione in lingua inglese Data Protection Officer – DPO)

Nel settore privato, sono tenuti alla designazione del DPO il titolare e il responsabile del trattamento che rientrino nei casi previsti del Regolamento (UE) 2016/679 quali soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali.

 

Resta comunque raccomandata la designazione di tale figura anche alla luce del principio di "accountability" che permea il Regolamento (UE) 2016/679.
Si tratta di un soggetto designato per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo, e:

  • Coopera con l'Autorità (proprio per questo il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche per gli interessati, per le questioni connesse al trattamento dei dati personali;
  • Deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy;
  • Deve poter offrire la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare;
  • Deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici;
  • Infine deve poter disporre di risorse (personale, locali, attrezzature, etc.) necessarie per l'espletamento dei propri compiti.

 

Per richiedere maggiori informazioni sulla figura del Responsabile della Protezione dei Dati personali  CLICCA QUI 

 

Novo Sofia, Associato ANPD Associazione Nazionale per la Protezione dei Dati
Socio Ordinario AA106