Tutela della Privacy: nuovo Regolamento Europeo in materia di protezione dei dati personali
Nuovo Regolamento UE in materia di protezione dei dati personali: il punto sulle novità di rilievo per il settore.
Suggerimento n.515/67 del 7 novembre 2017
Si comunica che il 25 maggio 2018 diventerà applicabile e vincolante in tutti gli Stati membri il “Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)”.
L’obiettivo del nuovo Regolamento è di introdurre una legislazione in materia di protezione dati uniforme e valida in tutta Europa, perseguendo, da un lato, la finalità di semplificare gli adempimenti per coloro che rispettano le regole e, dall’altro, responsabilizzando maggiormente imprese ed enti rispetto alla protezione dei dati personali.
L’aspetto più significativo è sicuramente il cambio di approccio rispetto al Codice Privacy, attualmente in vigore in Italia, ed in particolare all’Allegato B. Il nuovo Regolamento Europeo sulla Privacy, infatti, non definisce requisiti specificati in termini precisi: non ci sono più misure minime, ma solo misure di sicurezza adeguate (la cd. Privacy by design), progettate dal titolare o responsabile del trattamento dopo aver effettuato l’analisi dei rischi che incombono sui dati personali che si intende trattare. Le misure di prevenzione vanno, quindi, delineate mediante apposita policy aziendale prima di effettuare il trattamento.
Ad ogni modo, considerato che a livello nazionale, sia la nostra normativa che i provvedimenti del Garante sono allineati al percorso europeo, a partire dalla Direttiva Europea 46/95, a livello di principi sulla Privacy non ci sono differenze notevoli tra normativa italiana e Regolamento Europeo. Infatti, alcune regole già imposte dal Codice Privacy e dalle successive disposizioni del Garante restano valide, anche se con contorni più sfumati e da declinarsi su ciascuna realtà aziendale (l’obbligo di informativa, il consenso dell’interessato, la distinzione tra dati personali e dati sensibili); altre, invece, rappresentano delle novità (la denominazione degli attori – il titolare del trattamento, il responsabile del trattamento, i corresponsabili, il responsabile della protezione dati, il diritto all’oblio, il data breach, l’accountability).
Resta inteso, però, che il Regolamento UE 679/2016 non sarà l’unica fonte legislativa per regolamentare la protezione dei dati personali, infatti le Autorità dei singoli Stati Membri – il Garante della Privacy per l’Italia – potranno e dovranno integrare i contenuti del Regolamento dettagliando meglio alcuni aspetti che al momento appaiono poco chiari, introdurre linee guida generali e di settore: ciò vale in particolare per il nostro settore edile caratterizzato dalla diffusione di PMI.
Proprio per le organizzazioni che occupano meno di 250 dipendenti, si precisa che il Regolamento 679 ha stabilito delle semplificazioni.
In particolare, le responsabilità in capo al responsabile del trattamento (ex titolare del trattamento) sono maggiori e comunque più impegnative da gestire, soprattutto laddove il trattamento di dati venga delegato a fornitori esterni (es. consulenti del lavoro, consulenti fiscali e legali, strutture esterne, ecc.) che dovranno necessariamente essere verificati e gestiti mediante apposite procedure al fine di assicurarsi adeguate garanzie per il trattamento dei dati di cui sono responsabili.
Per un’analisi puntuale e più approfondita delle principali novità per le imprese nella gestione della Privacy a seguito del Regolamento UE, l’ANCE ha elaborato un documento di agevole consultazione contenente alcune FAQ (le quali, si tiene a precisare, potranno essere soggette a modifiche e integrazioni alla luce dell’evoluzione del quadro interpretativo sulla materia).