Ordine pubblico – Privacy – Nuova disciplina – Legge di delegazione europea 2016/2017 – Legge 25.10.2017, n. 163, su G.U n. 259 del 6.11.2017.
La legge di delegazione europea indicata in oggetto ha stabilito che il Governo è delegato ad adottare i decreti necessari all’adeguamento della normativa nazionale al nuovo regolamento europeo riguardante il trattamento dei dati personali (Regolamento UE n. 679 del 2016).
L’attuale normativa nazionale, come è noto, è costituita dal codice della privacy (decreto legislativo n. 196 del 2003) che aveva sostituito la precedente legge del 1996 con la quale era stata recepita la prima direttiva in materia (direttiva UE n. 46 del 1995) ora abrogata dal citato regolamento. Il Governo avrà tempo fino a maggio 2018 per adottare le nuove disposizioni.
Si segnalano di seguito gli aspetti principali previsti dal regolamento comunitario.
Ambito di applicazione – In base al nuovo regolamento la tutela della privacy riguarda esclusivamente le persone fisiche mentre, come era già previsto dal nostro ordinamento, non riguarda i dati delle persone giuridiche. Gli interessati, cioè le persone fisiche a cui si riferiscono i dati, dovranno manifestare in maniera libera, informata e inequivocabile, come oggi, il proprio consenso al trattamento dei dati. Sono stati introdotti nuovi diritti tra cui il diritto all’oblio e il diritto alla portabilità dei dati: previa richiesta sarà possibile ottenere rispettivamente la cancellazione definitiva dei dati trattati nonché il loro trasferimento a un diverso titolare del trattamento. Le nuove norme sono applicabili al trattamento dei dati effettuato da soggetti stabiliti all’interno dell’Unione indipendentemente dal luogo in cui avviene il trattamento stesso.
Soggetti responsabili – Vengono maggiormente definite le funzioni delle principali figure deputate alla tutela del trattamento dei dati personali. Il titolare del trattamento dovrà essere in grado di dimostrare la conformità del trattamento stesso alla nuova normativa. L’adesione a codici di condotta o a meccanismi di certificazione potrà essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento. Il responsabile del trattamento, che interviene solo per conto del titolare, dovrà mettere in atto le misure tecniche e organizzative adeguate per rispettare le prescrizioni del regolamento e garantire la tutela dei diritti dell’interessato. Viene ribadito il principio della limitazione del trattamento ai soli dati necessari al trattamento stesso.
Responsabile della protezione dei dati (RPD) – Il regolamento introduce l’ulteriore figura del responsabile della protezione dei dati (in inglese Data Protection Officer – DPO), obbligatoria per le imprese qualora i trattamenti effettuati richiedano un monitoraggio su larga scala o coinvolgano particolari categorie di dati sensibili (tra cui i dati sanitari, l’appartenenza sindacale, l’origine razziale o le opinioni politiche) o giudiziari. Il DPO potrà essere un dipendente o un professionista esterno, esperto di normativa e prassi in materia di privacy, con il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal trattamento stesso, di vigilare sul loro effettivo adempimento, di fornire le valutazioni d’impatto sulla protezione dei dati raccolti.
Registro dell’attività di trattamento – Le aziende che effettuino trattamenti che includono dati sensibili o giudiziari, nonché le aziende con almeno 250 dipendenti, dovranno tenere un registro con le informazioni di tutte le attività relative al trattamento dei dati effettuato; tale registro dovrà essere a disposizione dell’autorità di controllo qualora ne faccia richiesta.
Violazione e perdita dei dati – Il titolare avrà l’obbligo di comunicare l’eventuale violazione o perdita dei dati personali dell’interessato notificando quanto avvenuto all’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza.
Autorità di controllo – Il regolamento conferma la competenza sulla materia in capo a un’autorità indipendente (in Italia Garante della privacy) con poteri sanzionatori.
Diritto al risarcimento e responsabilità – Il regolamento prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento stesso abbia il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Questi sono esonerati dalla responsabilità qualora dimostrino che l’evento dannoso non è loro in alcun modo imputabile.
Regime sanzionatorio – Il regolamento prevede sanzioni amministrative pecuniarie fino al 4% del fatturato annuo complessivo a seconda della natura e della gravità della violazione, del carattere doloso o colposo, delle categorie di dati personali interessate.
Si fa riserva di tornare sull’argomento non appena saranno emanati i successivi decreti delegati.