Il Regolamento (UE) 2016/679 (GDPR: General Data Protection Regulation) del 27 Aprile 2016, è entrato definitivamente in vigore il 25 maggio 2018, sostituendo le normative nazionali in materia di privacy e modificando l’intero approccio gestionale da parte di imprese ed enti pubblici al trattamento dei dati.
Analizzando le principali novità del Regolamento si osserva come l’utente viene posto al centro del recente sistema di tutela dei dati personali, sottolineando l’importanza e il valore di tali dati. Nel Regolamento Europeo vengono introdotti nuovi diritti per gli interessati tra cui il diritto alla portabilità dei propri dati personali, cioè la possibilità di trasferirli da un titolare del trattamento ad un altro, e il diritto all’oblio, consistente nella cancellazione immediata dei dati personali in presenza di determinate condizioni che ne rendono impossibile il proseguimento del trattamento. Il consenso dell’interessato al trattamento dei dati personali dovrà essere preventivo, inequivocabile e anche esplicito. L’informativa obbligatoria cambia e dovrà contenere per esempio il periodo di conservazione dei dati e il diritto dell’interessato di proporre reclamo ad un’autorità di controllo. Le eventuali violazioni (data breach) dei dati personali, se comportano rischi per i diritti e le libertà degli interessati, devono venire comunicate al Garante per la Privacy.
Il GDPR 2018 promuove inoltre la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento può comportare per i diritti e le libertà degli interessati. I titolari del trattamento devono valutare il rischio inerente alle loro attività fin dal momento della progettazione del sistema, al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati e devono garantire che siano trattati solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario ai fini del trattamento (privacy by design e by default). In ogni caso le aziende sono obbligate a rilevare il minor numero di dati necessari per lo scopo prefissato. A stabilire quale sia il limite è il principio della minimizzazione dei dati: il meno possibile, ma tutti quelli necessari.
Come parte integrante di un sistema di corretta gestione dei dati personali, il GDPR prescrive ai Titolari e ai Responsabili del trattamento la tenuta di un Registro delle Attività di Trattamento svolte sotto la propria responsabilità. Il registro dovrà contenere le finalità del trattamento, una descrizione delle categorie di interessati e delle categorie di dati personali, le categorie di destinatari a cui i dati personali sono stati o saranno comunicati.
Quando si verifica un rischio elevato per i diritti e le libertà delle persone fisiche, per esempio a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati appartenenti a categorie particolari, i titolari del trattamento sono obbligati a svolgere una preventiva Valutazione d’impatto sulla protezione dati (DPIA Data Protection Impact Assessment). La valutazione di impatto costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri.
Ulteriore novità introdotta dal GDPR rispetto all’attuale regolamento sulla privacy è la figura del Responsabile della protezione dei dati (DPO Data Protection Officer): viene designato quando il trattamento è effettuato da un'autorità pubblica o quando le attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Si tratta di una nuova figura aziendale deputata a informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento e ai dipendenti, assicurando una corretta gestione dei dati in conformità col Regolamento Europeo sulla protezione dei dati.
I titolari o i responsabili del trattamento sono quindi tenuti non soltanto a garantire l'osservanza delle disposizioni del Regolamento, ma anche a dimostrare adeguatamente di aver concretamente adottato le misure finalizzate ad assicurare l’applicazione del Regolamento. Imprese ed enti avranno quindi più responsabilità e in caso di inosservanza delle regole sono previste delle sanzioni amministrative fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo.
A partire dal 25 maggio 2018 è quindi direttamente applicabile in tutti gli Stati membri il Regolamento Europeo n. 679/2016 detto GDPR.
Ogni stato membro deve adeguare e armonizzare la propria direttiva interna in materia di privacy per quanto riguarda gli elementi del Regolamento affidati alla legislazione nazionale.
In Italia siamo ancora in attesa del Decreto Legislativo che adatti l’ordinamento previgente in materia di privacy al Regolamento Europeo 679/2016.
Per chiarire i dubbi in merito, si precisa che l’art. 13 della legge n. 163 del 2017 delegava il Governo ad adottare, entro sei mesi dalla data di entrata in vigore della medesima legge (cioè entro il 21 maggio 2018), uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE
Anche a causa della situazione governativa italiana degli ultimi mesi, siamo in assenza dei pareri delle competenti Commissioni parlamentari necessari all’approvazione dello schema di decreto legislativo di recepimento. Pertanto, secondo l’articolo 31, comma 3, della legge n. 234 del 2012, il termine di scadenza della delega è prorogato di novanta giorni, quindi sino al 21 agosto 2018.
In ogni caso c’è da precisare che l’art. 13 della legge n. 163 del 2017 indica che le disposizioni in vigore del codice in materia di trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003 n. 196 incompatibili con le disposizioni contenute nel Regolamento (UE) 2016/679, vengono espressamente abrogate.
Dal 25 Maggio il D.lgs. n. 196 del 2003 (Codice Privacy) non è più applicabile.
Dunque, in Italia il GDPR è operativo a tutti gli effetti a partire dal 25 Maggio 2018.
Il futuro decreto legislativo conterrà presumibilmente le disposizioni necessarie per dare attuazione alle disposizioni non direttamente applicabili contenute nel Regolamento (UE) 2016/679 ed eventuali specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali, con riguardo unicamente alle materie in cui lo stesso GDPR prevedela competenza delle normative nazionali.
Attualmente è disponibile uno schema di decreto legislativo, che dovrà essere adottato dal Governo dopo l’approvazione degli organi competenti, non oltre il 21 Agosto 2018.
Il testo dello schema, su cui il Garante per la protezione dei dati personali ha già espresso il proprio parere positivo, anziché abrogare interamente l’attuale D.lgs. 196/2003, sostituisce in blocco alcuni Titoli e capi dello stesso, e modifica in maniera specifica articoli, commi e parole, nelle parti in cui sussiste la competenza del legislatore nazionale.
Rispetto alle specifiche questioni lasciate libere dal Regolamento, si avrà l’integrazionedel GDPR alla normativa nazionale per quanto riguarda ad esempio il potere di accertamento dell’Autorità, la disciplina sanzionatoria, la definizione dell’età dei minori, un elenco di ciò che è considerato rientrante nell’interesse pubblico rilevante, la restrizione dei diritti dell’interessato regolati dal GDPR per finalità per esempio di antiriciclaggio, la modifica delle tempistiche e delle regole per la procedura di reclamo da parte dell’interessato.Lo schema contiene poi una serie di disposizioni tese a regolare settori specifici come per esempio l’ambito sanitario o l’ambito giornalistico.
Il rinvio dell’adozione del decreto legislativo da parte del Governo Italiano, comporta che dal 25 maggio il trattamento della cosiddetta privacy debba sottostare esclusivamente al Regolamento Europeo GDPR 679/2016.
E’ necessario attendere ancora qualche settimana prima di conoscere in via definitiva il contenuto della futura normativa italiana e di eventuali semplificazioni che saranno apportate nella gestione dei dati personali nelle materie rimesse alla legislazione nazionale.
Ing. Alessandro Bonamano