Il Regolamento Privacy n. 679 del 2016 abroga la Direttiva CE n. 46 del 1995, ed entrerà in vigore il 25 maggio 2018.

Il Regolamento in commento si compone di ben 99 articoli e circa la metà di questi stabilisce il regime sanzionatorio per le violazioni degli obblighi in capo alle imprese.

Un articolo su due quindi espone a forti esborsi pecuniari.

Tra le novità previste dalla nuova normativa, oltre all’introduzione e all’obbligatorietà in determinati casi della figura del Data Protection Officer (DPO), viene introdotto l’obbligo del titolare di un’impresa di comunicare al Garante le cosiddette “data breach” (violazioni degli archivi).

Alle imprese, in buona sostanza, viene richiesto di documentare il consenso, di comprovare la base giuridica del proprio operato, di tenere e mantenere un registro dei trattamenti, di predisporre un’analisi dei rischi ed in alcuni casi di effettuare una valutazione di impatto privacy.

Con il Regolamento 679 si prevede l’introduzione del diritto all’oblio (diritto ad essere dimenticati dalla rete), nonché la portabilità dei dati degli utenti che si trasferiscono da un’azienda all’altra.

La figura del DPO non ha precedenti nella storia normativa dell’Unione, benché nella prassi di molti Stati membri sia possibile trovare figure comparabili.

In Italia l’Autorità Garante si è già attivata nel collaborare con uffici privati e pubblici nei mesi precedenti alla completa entrata in vigore dei nuovi obblighi.

La nomina di un responsabile della protezione dati sarà obbligatoria per tutte le autorità pubbliche e tutti i soggetti pubblici, per altri soggetti dove l’attività principale svolta dal titolare o dal responsabile del trattamento si estrinsechi concretamente nel monitoraggio regolare e sistematico su “larga scala” di persone fisiche ed infine per coloro che trattano sempre su larga scala categorie particolari di dati o dati relativi a condanne penali.

È comunque consigliabile anche ai soggetti non obbligati di dotarsi di questa figura e, qualora invece si decida per il contrario, risulta opportuno documentare le valutazioni che hanno portato a questa decisione.

 

Il DPO non risponde personalmente delle eventuali inosservanze del regolamento: l’onere infatti di rispettare la normativa in questione spetta o al titolare o al responsabile del trattamento dei dati personali, che non può coincidere con il DPO.

Per questo motivo, a quest’ultimo deve essere garantita una certa autonomia e terzietà rispetto alle altre figure interne, difatti egli non può essere penalizzato o rimosso dal suo incarico per il solo adempimento dei propri compiti.

Inoltre gli devono essere messe a disposizioni sufficienti risorse per poter svolgere al meglio il suo ruolo.

Il regolamento non si preoccupa di dare una definizione di espressioni come “attività principale” o di “larga scala”.

Il considerando 97 del Regolamento sembra escludere il trattamento dei dati quando questi è solo attività accessoria: tuttavia, qualora il trattamento dei dati risulti essere componente indispensabile per garantire determinate prestazioni dell’attività principale, la nomina di un DPO sarà necessaria.

Per ciò che riguarda la “larga scala”, il Regolamento ne da sempre una definizione non dettagliata, anzi all’interno dei considerando 91 sembra individuarla in negativo, prevedendo che “il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.

In ogni caso, risulta opportuno tenere conto del numero di soggetti interessati dal trattamento, del volume e delle tipologie di dati, della durata dell’attività di trattamento ed infine della portata geografica della stessa.

I compiti del DPO sono disciplinati dall’art. 39 del Regolamento, e segnatamente si evidenziano:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento;
  • sorvegliare l’osservanza del presente Regolamento, di altre disposizioni dell’Unione o degli Stati Membri relative alla protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento e alle connesse attività di controllo;
  • predisporre, quanto richiesto, pareri relativi alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35;
  • cooperare con gli organi preposti al controllo;
  • fungere da punto di contatto per le autorità per questione connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36, ed effettuare, se del caso, consultazioni su questioni diverse.

Nell’eseguire i propri compiti il responsabile della protezione dei dati deve considerare attentamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

L’aspetto che in Italia ha fatto più notizia è senza dubbio quello delle sanzioni economiche.

Invero, quasi la metà degli articoli del Regolamento che si ricorda entrerà in vigore dal maggio del 2018 riguardano l’applicazione delle sanzioni amministrative.

Per violazioni degli obblighi da parte delle imprese infatti, si può essere puniti fino a 10 milioni di euro, mentre in caso di violazione dei principi del regolamento o dei diritti degli interessati si può arrivare anche a 20 milioni di euro.

Lo Studio Legale P&S assiste le imprese private e gli enti pubblici nella risoluzione delle criticità derivanti dalla normativa privacy con particolare riferimento alle novità introdotte con il nuovo Regolamento 679 del 2016, fornendo altresì assistenza sia come DPO, sia nella predisposizione di modelli privacy, senza tralasciare l’aspetto fondamentale ed ineliminabile della formazione dei soggetti attivi del trattamento.