Dal 25 maggio è operativo in tutta Europa il Regolamento (UE) n. 2016/679 recante il “Regolamento Generale sulla Protezione dei Dati personali”. La nuova disciplina uniforma le regole in tutti i Paesi dell’Unione e rappresenta la più grande riforma in questo settore da 25 anni a questa parte.
Con il Regolamento cambia principalmente l’approccio alla protezione dei dati: imprese ed enti dovranno infatti operare seguendo il principio di responsabilizzazione (“accountability”) e dovranno considerare la protezione dei dati non come obbligo formale, ma come una parte integrante e permanente delle loro attività promuovendo consapevolezza negli utenti sui loro diritti e le loro libertà.
Dice il Garante: “ogni utente avrà il diritto di ricevere informazioni chiare sull’uso che viene fatto dei suoi dati personali, potrà trasferirli da un titolare del trattamento ad un altro, compresi i social network (“diritto alla portabilità dei dati”), e vedrà rafforzato il suo diritto di far cancellare, anche on line, le informazioni non più necessarie rispetto alle finalità per le quali sono state raccolte (“diritto all’oblio”).
La nuova disciplina introduce anche altre importanti misure. Imprese ed enti dovranno rispettare i principi della “privacy by design” e della “privacy by default”: dovranno inserire cioè garanzie a favore degli utenti in dalla progettazione di ogni trattamento e di ogni prodotto o servizio che comporti il trattamento di dati personali. Il consenso all’uso dei dati dovrà essere ancora più specifico per ogni servizio reso. Chi tratta dati avrà l’obbligo di informare le Autorità garanti, e nei casi più gravi gli stessi interessati, in caso si verifichino furti, diffusione illecita o perdite di dati (“data breach”).
Altra importante innovazione è la figura del Responsabile della protezione dei dati (RPD) che dovrà operare all’interno di tutte le amministrazioni pubbliche e di quelle imprese che fanno particolari trattamenti di dati o usano particolari categorie di dati, offrendo consulenza e supporto al proprio titolare o responsabile del trattamento.”
In Italia intanto si lavora su un decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale al GDPR tuttavia è slittato l’esame del decreto di armonizzazione da parte delle commissioni speciali di Camera e Senato.
La delega, in origine, sarebbe decaduta il 21 maggio 2018, ma per effetto di ritardi accumulatosi è stata prorogata al 21 agosto 2018. L’effetto è che l’iter del Parlamento italiano va avanti mentre le disposizioni europee in materia di privacy sono già operative, pertanto aziende e pubbliche amministrazioni dovranno preoccuparsi di applicare direttamente le disposizioni del Regolamento Europeo.
Avv. Federica Spuri Nisi