Dal 25 maggio è applicato in Italia il Regolamento UE in materia di protezione dei dati personali. La nuova disciplina uniforma le regole in tutti i Paesi Membri dell'Unione e rappresenta la più grande riforma nel settore della data protection e della data governance.

La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e? un diritto fondamentale dell'individuo. Il quadro normativo per la prima volta si adegua al nuovo contesto sociale ed economico - caratterizzato da un incessante sviluppo tecnologico e da forme sempre più massicce e pervasive di scambio e sfruttamento di dati personali - rafforzando il controllo sui dati e le tutele poste a salvaguardia dei diritti degli individui.

 

In che modo il legislatore europeo si è adeguato al progresso tecnologico?

In primis, cambiando in maniera radicale l'approccio alla protezione dei dati: imprese ed enti dovranno operare seguendo il principio di responsabilizzazione ("accountability"), considerare la protezione dei dati non come obbligo formale, ma come una parte integrante e permanente delle loro attività e promuovere consapevolezza negli utenti sui loro diritti e le loro libertà. Non più autorizzazioni generali e precisi adempimenti da recepire e attuare, ma valutazioni e autovalutazioni per individuare e implementare un sistema di gestione dei dati personali basando le proprie scelte sui rischi connaturati ai trattamenti e alle tecnologie in uso, considerati gli impatti sui diritti degli individui.

Un punto cruciale del Regolamento è l'applicabilità della norma anche alle imprese situate fuori dall'Unione europea che offrono servizi o prodotti a persone presenti nel territorio dell'Unione europea o ne monitorano il comportamento. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell'Unione.

Chiarezza, trasparenza e semplicità sono le caratteristiche delle informazioni sull'uso dei suoi dati personali da fornire agli interessati, che tengano conto dei diritti di trasferimento da un titolare del trattamento ad un altro, compresi i social network ("diritto alla portabilità dei dati"), del diritto di cancellazione, anche online, delle informazioni non più necessarie rispetto alle finalità per le quali sono state raccolte ("diritto all'oblio"). Il consenso all'uso dei dati dovrà essere ancora più specifico per ogni servizio reso.

Privacy "by design" e "by default"

La nuova disciplina introduce anche altre importanti misure. Imprese ed enti dovranno rispettare i principi della "privacy by design" e della "privacy by default": dovranno inserire cioè garanzie a favore degli utenti sin dalla progettazione di ogni trattamento e di ogni prodotto o servizio che comporti il trattamento di dati personali. Chi tratta dati avrà l'obbligo di informare l'Autorità di Controllo, e nei casi più gravi gli stessi interessati, in caso si verifichino furti, diffusione illecita o perdite di dati ("data breach").

Altra importante innovazione è la figura del Responsabile della protezione dei dati (RPD o DPO), che dovrà operare all'interno di tutte le amministrazioni pubbliche e di quelle imprese che fanno particolari trattamenti di dati o usano particolari categorie di dati, offrendo consulenza e supporto al proprio titolare o responsabile del trattamento.

Le sanzioni per chi non rispetta le regole potranno arrivare fino al 4 per cento del fatturato globale annuo. Tutte le Autorità di protezione dati dei Paesi Ue, alle quali è affidato il compito di vigilare sull'attuazione del Regolamento, avranno gli stessi poteri e gli stessi compiti, a garanzia ulteriore di un'applicazione realmente uniforme ed efficace nell'intera Unione.

 

La nomina del Responsabile della protezione dei dati personali

In base al GDPR, alcuni titolari del trattamento e responsabili del trattamento sono tenuti a nominare un RPD. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali.

Anche ove il regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro Articolo 29 incoraggia gli approcci di questo genere. 

In base all'articolo 37, paragrafo 1, del GDPR, la nomina di un RPD e? obbligatoria in tre casi specifici:

  1. se il trattamento e? svolto da un'autorità pubblica o da un organismo pubblico;
  2. se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
  3. se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

 

Il Gruppo di Lavoro Articolo 29 annovera le imprese assicurative tra la casistica prevista alla lettera b), ovvero le attività di monitoraggio regolare e sistematico degli interessati su larga scala, quale attività principale dell'impresa stessa. Obbligatorio, quindi, nominare un RDP.

 

27 settembre 2018