In data 27 aprile 2016 è stato pubblicato il nuovo regolamento che disciplina il trattamento dei dati personali che sostituirà il codice Privacy nel giro di due anni dalla entrata in vigore (25 maggio 2018). La pubblicazione in Gazzetta Ufficiale Europea del 4 maggio 2016 rende obsoleta la precedente direttiva madre 65/46/CE e definisce i termini dell’immediata applicabilità da parte dei 28 stati membri dell’Unione, senza che sia formalmente necessario il passaggio del recepimento interno attraverso apposita misura normativa.
Il nuovo regolamento introduce novità anche significative in materia di trattamento dei dati personali e modifica, in parte, alcuni aspetti della normativa precedentemente in vigore, attribuendo nuovi oneri e responsabilità che si riflettono inevitabilmente sui soggetti titolari e responsabili del trattamento dei dati. In Italia, l’autorità garante della Privacy è al lavoro sul precedente regolamento (d.lgs. 196/2003) con l’obiettivo di valutare quali misure possano essere conservate e quali invece necessitano di revisione ai sensi delle recenti novità, poiché a breve obsolete e non più applicabili.
La velocità con cui si sviluppano nuove tecnologie digitali, e con cui nascono sul mercato telematico nuovi potenziali gestori di dati personali, ha reso necessaria l’attuale revisione volta a dare un impulso tecnico e normativo che sia al passo e conforme all’andamento del mercato, e che contribuisca a rafforzare un clima di fiducia da parte dei consumatori per favorire e sostenere lo sviluppo dell’economia digitale in piena fase di espansione.
Il Regolamento si compone di 99 articoli che introducono obblighi in carico ai Responsabili del trattamento dei dati (capo IV) con la finalità di promuovere un sistema organico e coerente che consenta alle persone fisiche di muoversi in regime di tutela della privacy e ai gestori dei dati di poter offrire servizi in spirito di libero mercato, che possano soddisfare le esigenze dei destinatari, in termini di affidabilità, dinamicità e riservatezza.
Le principali novità introdotte dal nuovo regolamento, o parzialmente riviste rispetto al precedente che comunque comporteranno delle nuove assunzioni di responsabilità, sono di seguito brevemente descritte:
- Il diritto all’oblio, già in vigore da tempo nella giurisprudenza internazionale e qui ripreso nell’articolo 17, consentirà a un soggetto individuale di richiedere che i propri dati personali vengano completamene cancellati da parte del gestore, anche per evitare casi di profilazione dei dati, adducendo una motivazione sostenibile.
- Il diritto alla portabilità dei dati (articolo 20) consente di trasferire senza che venga applicato nessun costo, i propri dati personali da un gestore a un altro.
- Il principio dell’accountability, (articoli 24 -28) obbligherà Titolari e Responsabili a dover adottare il modello Organizzativo e di sicurezza Privacy rivolto a poter dimostrare di avere sviluppato misure interne tecniche ed organizzative, con relativi strumenti di controllo, necessarie alla salvaguardia dei dati personali; inoltre tutta la documentazione inerente il modello di cui sopra, dovrà essere archiviata e conservata sempre a cura dei titolari.
- Diventerà mandataria la nomina di un “Responsabile del Trattamento dei Dati” (Privacy Officier) che abbia ricevuto adeguata formazione da parte del Datore di Lavoro e/o Titolare dei dati, e che sia in possesso dei requisiti normativi minimi introdotti dal nuovo regolamento.
- Nei casi in cui i dati sensibili debbano essere impiegati per trattamenti che comportino un “rischio elevato per i diritti e le libertà individuali” (articolo 35) sarà obbligatorio eseguire e redigere una valutazione di impatto sulla protezione dei dati, previa consultazione presso l’autorità nazionale garante della privacy che dovrà approvare i contenuti e i criteri valutativi del documento.
- Con gli articoli dal 44 al 50 si affrontano gli aspetti relativi al trasferimento dei dati verso un paese terzo o una organizzazione internazionale; la Commissione Europea avrà il compito di valutare le garanzie offerte dal paese destinatario in termini di rispetto dei diritti umani e delle liberà fondamentali, di validità degli impegni assunti nei confronti del trattamento dei dati e di attendibilità nelle forme di controllo interne e di conseguenza di autorizzare o meno il trasferimento.
- Rivisitate anche le modalità con cui sarà possibile proporre reclami e ricorsi da parte dei privati cittadini per poter avere diritto all’ottenimento di risarcimenti per danni tangibili o morali nei confronti dei gestori dei dati, presso la autorità di vigilanza nazionali e internazionali. (articoli 77-84).
Il nuovo regolamento sensibilizza gli stati membri affinché promuovano, all’interno dei confini nazionali, misure e provvedimenti di carattere locale, consentendo una certa libertà di manovra per quanto riguarda le disposizioni relative alla tutela di specifiche categorie di dati personali (dati sensibili) e invitando a sviluppare protocolli di controllo e criteri di gestione dei dati attinenti ad attività di interesse pubblico o connesse all’esercizio di poteri pubblici.