foto privacy2

Privacy, le principali novità per le imprese in arrivo dall’Europa

Diventerà operativo il 25 maggio 2018 il GDPR – General Data Protection Regulation, il nuovo Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali, entrato in vigore in Italia il 24 maggio 2016. Ad essere coinvolti sono tutti i cittadini e tutte le imprese, anche quelle situate fuori dall’UE, che offrono prodotti o servizi nel territorio europeo. Aziende e professionisti sono dunque chiamati ad una serie di adempimenti per dare piena attuazione a quella che i più definiscono la privacy 4.0.

Tra le principali novità c’è l’introduzione della figura del «Responsabile della protezione dei dati» (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti pubblici. Si tratta di una figura già presente nel mondo anglosassone con il nome di Chief Privacy Officer (CPO); Privacy Officer, Data Protection Officer o Data Security Officer, e in altre legislazioni europee, ma non in Italia. Secondo quanto previsto dal Regolamento Europeo, questo ruolo può essere ricoperto sia da un interno, purché non in conflitto di interessi, che da un esterno. Il DPO deve avere una specifica competenzadella normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”, oltre che “qualità professionali adeguate alla complessità del compito da svolgere”. Tale ruolo non richiede attestazioni formali o l’iscrizione ad appositi albi professionali. Quali realtà sono tenute alla nomina di questa figura? Secondo il GDPR (art.37) l’obbligo di nomina vale per tutte le amministrazioni e gli enti pubblici (ad eccezione per le autorità giudiziarie), per quei soggetti la cui attività principale consiste in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala e per tutti i soggetti che trattano, su larga scala, dati sensibili. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, se facilmente raggiungibile da ciascuno stabilimento.

Con i suoi 91 articoli e 135 considerando, il GDPR cambia l’impostazione generale del codice della privacy nazionale. Sui due piatti della bilancia ci sono: da un lato molte semplificazioni per le imprese, dall’altro un considerevole inasprimento delle pene in caso di mancato rispetto delle norme. Il perno è rappresentato dal principio «Privacy by design» secondo cui la protezione dei dati personali si attua attraverso un processo che si attiva dall’ideazione e dalla progettazione di un trattamento o di un sistema ed evolve in un’ottica di prevenzione di eventuali comportamenti critici. Se da un lato scompare l’obbligo di notificare particolari trattamenti e di verifica preliminare presso l’Autorità Garante, dall’altro si punta a responsabilizzare il titolare del trattamento di dati personali (accountability).

Per i cittadini sono previste più tutele, tra cui il diritto all’oblio, il diritto alla «portabilità» dei propri dati personali per trasferirli da un titolare del trattamento ad un altro. Diventa obbligatorio per i fornitori di servizi Internet e i social media chiedere il consenso ai genitori, o a chi esercita la potestà genitoriale, per trattare i dati personali dei minori di 16 anni.