Arriva il Regolamento Generale sulla Protezione dei Dati (RGPD): in vigore dal 25 maggio 2018

Il regolamento UE del 27/04/2016 n. 679, entrato in vigore il 24/05/2016 ma applicabile solo a decorrere dal prossimo 25/05/2018, ha introdotto novità in materia di privacy, in particolare con riferimento al trattamento e alla circolazione dei dati personali della persona fisica.

Ce ne parla l'Avv. Giulio Mario Guffanti.

Con il termine "dato personale" si intende "qualsiasi informazione riguardante una persona fisica identificata o identificabile" cioè la persona fisica che può essere, direttamente o indirettamente, identificata per mezzo del precipuo riferimento al nome, all'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale, ovvero con riferimento ad un numero di identificazione o con riferimento ai dati relativi all'ubicazione.

Le disposizioni contenute nel regolamento UE trovano applicazione con riferimento al trattamento automatizzato, totale o parziale, dei dati personali, nonché al trattamento dei dati non automatizzato contenuti o destinati ad essere contenuti in archivi, con l'esclusione del trattamento dei dati personali effettuati dalla persona fisica nell'esercizio di attività di tipo personale o domestico.

La disciplina da un lato approfondisce le competenze del titolare del trattamento e del responsabile del trattamento dei dati, figure introdotte con il Codice della Privacy (D. LGS. 30 giugno 2003, n. 196) e, dall'altro, introduce la nuova figura del responsabile per la protezione dei dati personali.

La nomina del responsabile per la protezione dei dati personali è obbligatoria per:

• l'autorità pubblica o l'organismo pubblico, ad eccezione dei casi nei quali il trattamento dei dati viene effettuato dalle stesse autorità giurisdizionali nell'esercizio delle loro funzioni;

• tutti i soggetti la cui attività principale consista, appunto, nel trattamento di dati che richiedono monitoraggio regolare e sistematico di soggetti interessati su larga scala;

• tutti i soggetti la cui attività principale consista nel trattamento, su larga scala, dei dati personali ccdd. sensibili, dei dati genetici e biometrici, nonché quelli relativi a reati e condanne penali.

Non è indispensabile che il responsabile per la protezione dei dati personali abbia conseguito particolari titoli professionali. Indispensabile, tuttavia, è che lo stesso abbia una conoscenza specifica della normativa e della prassi relativa alla materia di protezione dei dati personali, nonché che lo stesso sappia svolgere i compiti minimi di informazione e consulenza al titolare, al responsabile del trattamento e ai dipendenti circa gli obblighi che derivano dal regolamento UE, di controllo e sensibilizzazione circa l'applicazione della normativa.

Quanto al profilo della responsabilità da illecito amministrativo, la nuova figura non ha responsabilità dirette ma una responsabilità in via di rivalsa sul versante risarcitorio a favore del titolare del trattamento dei dati che abbia subito un danno derivante da inadempienze ovvero da colpa grave del responsabile nello svolgimento dei propri compiti.

I compiti del titolare del trattamento e del responsabile del trattamento sono stati, invece, specificati e/o modificati rispetto a quelli che erano gli adempimenti già delineati dal Codice del Privacy.

Interessante è osservare come, rispetto al Codice della privacy (cfr. art. 33 e allegato B), non sono più previste quelle che erano definite "misure minime di sicurezza" ma è il titolare del trattamento e il responsabile del trattamento a dover adottare le misure tecniche e organizzate che ritiene più opportune, allo scopo di "garantire un livello di sicurezza adeguato al rischio del trattamento". Il compito del titolare e del responsabile del trattamento si fa, dunque, più pregnante, stante la valutazione che lo stesso è tenuto ad effettuare caso per caso.

Altra valutazione introdotta con il regolamento UE e alla quale è tenuto il titolare del trattamento è quella relativa all'impatto sulla protezione dei dati. Una valutazione da operare con la consultazione del responsabile, ex ante, obbligatoria in caso di trattamento particolarmente rischioso per i diritti e le libertà delle persone fisiche, derivante ad esempio dall'utilizzo di nuove tecnologie. Tale valutazione è, poi, obbligatoria rispetto al trattamento cui si è riferito in apertura del presente scritto: trattamento automatizzato, totale o parziale, dei dati personali, nonché al trattamento non automatizzato contenuti o destinati ad essere contenuti in archivi. Quando all'esito della valutazione dell'impatto dovesse emergere la sussistenza di un rischio elevato e nelle ipotesi di insufficienza delle misure tecniche-organizzate già individuate al fine di mitigare l'impatto del trattamento, il titolare è tenuto alla consultazione dell'autorità di controllo.

Nei casi di violazione dei dati personali, poi, il titolare del trattamento è tenuto alla notifica della relativa violazione all'autorità competente e, in casi gravi, anche all'interessato, entro le 72 ore decorrenti dal momento in cui lo stesso ne venga a conoscenza. Il predetto adempimento è prescritto come necessario solo nelle ipotesi in cui il titolare del trattamento ritenga probabile che dalla violazione possa derivare un rischio per i diritti e per le libertà degli interessati.

Una materia, dunque, quella della protezione dei dati personali, in continuo divenire e su cui l'Unione Europea ha posto e continua a porre particolare attenzione. Non resta che attendere l'Italia, la quale, adesso è tenuta ad approvare le norme di coordinamento rispetto a quelle già contenute nel vigente Codice della Privacy.

Se avete bisogno di ulteriori informazioni in merito, contattate direttamente lo Studio legale Prof. Avv. Giulio Mario Guffanti.