LE NOVITÀ SUL TRATTAMENTO DEI DATI PERSONALI DEL REGOLAMENTO EUROPEO N. 679/2016
Il Regolamento UE 2016-679 del 27/04/2016 sarà pienamente esecutivo dal 25 maggio 2018, abrogando la direttiva del ‘95 sulla protezione dei dati personali che è stata recepita dalla normativa nazionale attuale.
La principale novità del Regolamento riguardano:
- – il principio di accountability (responsabilizzazione) del Titolare posto alla base della nuova normativa, cioè la responsabilizzazione del Titolare rispetto alle misure, organizzative e tecniche, poste in essere per conformarsi ai nuovi obblighi. In base a questo principio, al Titolare è riconosciuto un certo livello di discrezionalità nel processo di adeguamento a fronte del quale è posto, però, l’obbligo di documentare le scelte fatte e le ragioni che le hanno motivate nell’ottica dell’adeguamento alla norma;
- – nuovi diritti riconosciuti agli interessati e una particolare attenzione alla tutela dei minori;
- – l’obbligo di redazione e aggiornamento del Registro dei trattamenti, cioè dell’elenco delle operazioni (trattamenti) effettuate dal Titolare che prevedono l’utilizzo di dati personali;
- – l’obbligo di definire a priori i termini di conservazione dei dati personali trattati e di dichiarare tale termine nell’informativa comunicata all’interessato;
- – l’obbligo, in capo al Titolare, di notifica al Garante entro 72 ore e comunque “senza ingiustificato ritardo”, delle violazioni di sicurezza relative a dati personali e la comunicazione della violazione agli interessati, se necessario;
- – l’obbligo di tenere conto della Data Protection fin dalla progettazione, in caso di sviluppo di nuovi servizi o per la revisione di quelli esistenti;
- – l’obbligo di procedere a una analisi approfondita dell’impatto sui diritti e le libertà degli interessati quando l’innovazione comporti rischi particolari anche in virtù delle tecnologie innovative utilizzate;
- – la riaffermazione della necessità di basare le misure di sicurezza su un’attenta analisi dei rischi;
- – la ridefinizione dei rapporti fra il Titolare e i fornitori di servizi che trattano dati personali per conto del Titolare stesso, con la previsione, a determinate condizioni, della responsabilità solidale dei due soggetti per i danni eventualmente provocati;
- – la nuova figura del Data Protection Officer finalizzata a facilitare la corretta applicazione del Regolamento da parte del Titolare;
- – l’obbligo di documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati.
Si evidenzia che il principio di accountability attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali. In altri termini titolari e responsabili dovranno adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento, decidendo in via autonoma le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento stesso.
Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili. Si tratta in altri termini di valutare il rischio inerente al trattamento e di adottare le misure idonee a mitigare sufficientemente il rischio.
In quest’ottica, la nuova disciplina impone ai destinatari un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.