Come noto, lo scorso 24 maggio 2016, il Regolamento Europeo per la protezione dei dati personali (Regolamento UE 2016/679) è entrato formalmente in vigore e diverrà pienamente applicabile a decorrere dal 25 maggio 2018, secondo quanto previsto dall’art. 99 delle disposizioni finali del medesimo.
In particolare, il Regolamento approvato va ad abrogare integralmente la Direttiva 95/46/CE, rimasta in vigore per oltre venti anni, e dunque anche tutte le leggi nazionali di recepimento, tra cui il d.lgs. 196/2003 (Codice Privacy). Ciò d’altro canto non vale per gli accordi internazionali relativi al trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali, conclusi prima dell’entrata in vigore del Regolamento, in quanto essi resteranno in vigore fino alla loro sostituzione, revoca o modifica. Inoltre, rispetto ai trattamenti ancora in corso, non è necessario che l’interessato presti nuovamente il proprio consenso.
Nonostante le organizzazioni abbiano a disposizione circa due anni prima della piena applicabilità del Regolamento, è opportuno sottolineare che alcune delle novità introdotte, di seguito brevemente delineate, impongono una attenta e preventiva pianificazione, potendo comportare modifiche organizzative significative e, in alcuni casi, investimenti di natura tecnologica. Tali interventi presuppongono quindi attività di valutazione ed analisi per le quali è più che opportuno sfruttare il tempo a disposizione per non farsi trovare impreparati.
Senza pretese di esaustività all’interno di questo contributo, numerosi sono gli elementi di novità introdotti dal Regolamento.
In primis, per quanto attiene ai diritti dell’interessato, sono previste espressamente una serie di ipotesi nelle quali è possibile esercitare il “diritto all’oblio”, ovvero il diritto ad ottenere la cancellazione dei propri dati personali. Ciò potrà avvenire, ad esempio, qualora venga ritirato il consenso prestato in precedenza, o ancora nel caso in cui i dati non siano più necessari in relazione alle finalità per le quali la raccolta o il trattamento sono stati effettuati. Di nuova introduzione risulta altresì il diritto alla portabilità dei dati, che consente all’interessato di ricevere i dati precedentemente forniti ad un titolare del trattamento, oltre che di richiedere che gli stessi vengano trasmessi ad un altro titolare.
Vengono istituiti i registri delle attività di trattamento: essi contengono una serie di informazioni, tra cui le finalità per le quali il trattamento è stato effettuato, le categorie di dati personali e di soggetti interessati, le misure di sicurezza tecniche ed organizzative che sono state adottate. Tali registri sono tenuti dal Titolare e dal Responsabile, in relazione alle operazioni di trattamento effettuate sotto la propria responsabilità.
Con le nuove norme si passerà poi da un’attività di valutazione dei rischi ex post ad una ex ante. Infatti, fin dalla progettazione delle attività di trattamento dovranno essere valutate le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, anche adottando specifiche misure, quali la minimizzazione e la pseudonimizzazione, che garantiscano la protezione dei dati personali (c.d. “Privacy by design”). Le impostazioni predefinite dovranno poi garantire il più possibile il rispetto della privacy, ad esempio prevedendo la non accessibilità ad un numero indefinito di utenti (c.d. “Privacy by default”).
L’obbligo di comunicare al Garante Privacy eventuali violazioni di dati personali (c.d. data breach), già previsto per alcuni soggetti quali società telefoniche, Internet service providers, amministrazioni pubbliche, oltre che nell’ambito delle Linee Guida in materia di dossier sanitario, diviene un obbligo di carattere generale. In particolare, il titolare del trattamento deve fornire una serie di informazioni quali, ad esempio, la natura della violazione, i soggetti coinvolti, le misure adottate per porvi rimedio. Nel caso in cui vi sia un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento è altresì tenuto a comunicare la suddetta violazione all’interessato.
Un ulteriore obbligo viene introdotto dal Regolamento in capo al Titolare: quest’ultimo, infatti, a fronte di trattamenti che presentino rischi elevati, deve effettuare una valutazione dell’impatto del trattamento sulla protezione dei dati. È necessario, in sostanza, verificare in via preliminare a quali conseguenze un processo andrebbe incontro nel caso in cui venissero violate le misure di protezione dei dati. Qualora all’esito di tale valutazione il titolare ritenga che sussiste un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, dovrà consultare il Garante Privacy.
Viene meno, inoltre, il concetto di misure minime di sicurezza, attualmente previsto dalla nostra legislazione. Infatti, nel Regolamento si fa riferimento esclusivamente a qualunque tipo di misura che possa garantire un adeguato livello di sicurezza, tenendo conto dei costi di attuazione, della natura, del campo di applicazione, del contesto, delle finalità del trattamento, oltre che dei rischi esistenti nel caso concreto.
Da ultimo, occorre ricordare che la nuova disciplina prevede l’obbligatorietà della figura del Data Protection Officer con riferimento agli enti pubblici e alle aziende che trattino particolari categorie di dati (quali, ad esempio, quelli relativi all’origine razziale o etnica, oltre che i dati genetici o biometrici), o ancora nel caso in cui le attività principali del Titolare o del Responsabile consistano in trattamenti che richiedono il controllo regolare e sistematico dei dati degli interessati.
Come accennato sopra, le novità introdotte dal legislatore europeo impongono una seria valutazione da parte delle organizzazioni dell’impatto delle medesime rispetto alla gestione della data protection, che dovrà necessariamente aggiornarsi per conformarsi alle nuove disposizioni. Tale attività, sicuramente non semplice, richiede un’attenta pianificazione volta ad arrivare pronti momento della piena applicabilità del Regolamento, che vedrà necessariamente il coinvolgimento di diverse funzioni aziendali a vario titolo interessate dai trattamenti e che richiederà sforzi di coordinamento per portare avanti i progetti avviati e da avviare. Diviene dunque fondamentale sfruttare a pieno il periodo transitorio a disposizione.