21/01/2017

E' entrato in vigore dal 24 maggio 2016 il nuovo regolamento europeo sulla privacy in materia di protezione dei dati personali che costituisce un salto di qualità nel sistema delle responsabilità e nell'implementazione di misure di sicurezza a protezione dei dati personali.

Il testo del regolamento abroga la direttiva la Direttiva 95/46/Ce in materia di protezione dei dati personali /privacy, in Italia recepita con il D.Lgs 196/2003

Il regolamento è entrato in vigore il 24 maggio 2016 ma troverà applicazione negli Stati solo alla data del 25 maggio 2018: le imprese e le pubbliche amministrazioni hanno pertanto poco più di un anno per organizzarsi e adeguarsi alle nuove regole.

Quali sono le principali novità e gli impatti per le imprese?

Fermo restando che le prescrizioni del D.Lgs 196 rimarranno in vigore fino al 25.5.2018 ed in particolare: nomina del titolare e del responsabile del trattamento, nomina formale degli incaricati al trattamento dei dati, formazione agli incaricati, gestione password, gestione backup, gestione elettronica e cartacea dei dati personali e sensibili di clienti/fornitori/dipendenti etc…, le imprese e le pubbliche amministrazioni avranno, a seguito delle disposizioni del regolamento europeo, l’obbligo prima di procedere al trattamento, di effettuare una valutazione dell'impatto (“privacy impact assessment”), dei trattamenti previsti dal regolamento. Tale valutazione richiede una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati.

Con il nuovo testo del regolamento in materia di protezione dei dati personali le imprese titolari del trattamento dei dati dovranno dimostrare:

- di avere adottato le misure di sicurezza adeguate ed efficaci a protezione dei dati e, costantemente riviste e aggiornate e che le proprie attività;

- che i trattamenti sono conformi con i principi e le disposizioni del regolamento europeo, compresa l’efficacia delle misure.

Al fine di poter dimostrare la conformità alle disposizioni del regolamento, viene previsto l’obbligo del titolare o del responsabile di tenuta di registro delle attività di trattamento effettuate sotto la propria responsabilità con relativa descrizione delle misure di sicurezza. Il regolamento specifica che il registro (in formato anche elettronico) deve contenere una descrizione generale delle misure di sicurezza tecniche e organizzative e che su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento sono tenuti a mettere il registro a disposizione dell'autorità di controllo.

Si osservi che il sopra citato adempimento è molto più rigoroso e puntuale del precedente obbligo di adozione del Documento programmatico per la sicurezza (DPS), adempimento abrogato dal Decreto Monti (decreto-legge 9 febbraio 2012, n. 5).

 Il regolamento introduce nel nostro ordinamento una nuova figura il “data protection officer” (responsabile della protezione dei dati personali) che le pubbliche amministrazioni, ed alcune tipologie di imprese, hanno l’obbligo di nominare al proprio interno e deve sempre essere "coinvolto in tutte le questioni riguardanti la protezione dei dati personali".

Il testo prevede inoltre un rafforzamento dei poteri delle Autorità Garanti nazionali e un inasprimento delle sanzioni amministrative a carico di imprese e pubbliche amministrazioni: nel caso di violazioni dei principi e disposizioni del regolamento, le sanzioni, in casi particolari possono arrivare fino a 10 milioni di euro o per le imprese fino al 2%-4% del fatturato totale annuo dell'esercizio precedente, se superiore.