Regolamento privacy: le principali novità

Come notorio, il 25 Maggio 2018 è ufficialmente divenuta applicabile la normativa sancita nel Regolamento Europeo per la protezione dei dati personali (Reg. 2016/679/UE; Cfr. l’articolo “Privacy: the new Regulation” all’interno del sito);tale Regolamento concede in realtà ai destinatari un periodo di due anni per organizzarsi adeguatamente nel recepimento di tutte le innovazioni introdotte.

Va precisato come il Regolamento si applichi non solo all’interno dell’UE, bensì anche a quelle che si possono definire one leg operations, ovvero anche ai trattamenti che si svolgono nella non-EU zone, se implicanti cittadini residenti, ovvero beni o servizi forniti nell’Unione.

Tra i principi cardine di tale nuovo sistema vi è senza dubbio quello c.d. di accountability, che postula a carico dei soggetti, di volta in volta destinatari della nuova disciplina, un obbligo di garanzia della tutela ed integrità dei dati trattati in ogni singola fase in cui si articola il processo, nell’ottica del Risk Based Approach.

Posizione ancillare rispetto alla regola generale anzidetta assumono i predicati racchiusi negli ulteriori principi del data protection by design e data protection by default; il primo, in un’ottica proattiva e analitica, esige che tutti gli strumenti ed applicativi informatici, già nella fase di elaborazione teorica, siano progettati in modo tale da possedere intrinsecamente quelle misure di tutela dei dati che rientrano nelle norme del Regolamento. Il data protection by default invece si traduce in una specificazione del generale principio giuridico di correttezza e trasparenza, e richiede che i soggetti cui appartengono i dati trattati abbiano sempre cognizione e consapevolezza delle attività gestorie in corso, anche laddove non vi sia un’interattività con i sistemi informatici ovvero con i titolari o responsabili del trattamento.

Un’applicazione pratica di tale trasparenza è, esemplificativamente, l’obbligo per il titolare o responsabile del trattamento di comunicare tempestivamente all’interessato la c.d. data breach (ogni violazione della normativa privacy a detrimento del soggetto cui i dati si riferiscono), dopo però aver provveduto alla preventiva notifica all’Autorità di controllo entro 72 ore dal momento in cui si è venuti a conoscenza della violazione.

La segnalazione non è tuttavia prevista qualora il titolare o responsabile del trattamento attesti all’Autorità di controllo di aver proattivamente messo in campo tutte le misure atte ad evitare qualsivoglia danno per gli interessati in caso di perdita, sottrazione, distruzione dei dati.

In merito invero ai diritti “attivi” spettanti al soggetto cui i dati si riferiscono, si possono annoverare il diritto all’oblio (Cfr. l’articolo “Diritto all’oblio: relazioni con il diritto di cronaca”) e quello della portabilità del dato stesso, nella sua duplice applicazione: diritto di ottenere il trasferimento del dato da un database o sistema di gestione ad un altro; diritto di ottenere copia dei propri dati oggetto di trattamento.

Quanto alla nozione di dato stesso, il Regolamento ne ha apportato una appropriata dilatazione, per tenere il passo con le innovazioni tecnologiche: oggi difatti per “dato” si intendono non solo quelli classici (relativi ad esempio allo stato di salute o all’identità sessuale), bensì anche gli indirizzi IP, i cookies ecc.

Ciò posto, una delle novità di maggior impatto è certamente quella che ha riguardato l’introduzione del DPO (Data Privacy Officer), figura di riferimento all’interno del contesto aziendale per ciò che concerne la normativa privacy, la cui presenza è prevista sia per i soggetti pubblici che nel settore privato.

Trattasi di un operatore che deve presentare requisiti di indipendenza, professionalità ed onorabilità, ed a seconda della complessità e grandezza della struttura aziendale, può essere coadiuvato da una apposita struttura istituita ad hoc.

I compiti del DPO possono così essere compendiati: 1) Interfacciarsi con il Garante della Privacy e con le autorità di riferimento in materia; 2) Fornire assistenza, consulenza e pareri al titolare ed al responsabile del trattamento; 3) Sorvegliare sulla corretta applicazione del Regolamento; 4) Competenza nella notificazione e comunicazione nell’ipotesi di data breach.

L’inserimento di questa nuova figura all’interno delle compagini aziendali pubbliche e private, obbligatoria come detto a far data dal 25 Maggio 2018, i cui contorni non sono delineati in maniera netta e tranchante dalla normativa, è suscettibile di creare in un primo momento una fisiologica fase di incertezza ed impreparazione circa processi e procedure, fino a quando non si saranno stratificate e consolidate delle adeguate best practises.