IL GDPR E I NUOVI ADEMPIMENTI IN MATERIA DI PRIVACY
Il 25 maggio 2018 è certamente una data che ha segnato uno spartiacque per le organizzazioni aziendali di qualunque entità incidendo in misura significativa sulla gestione organizzativa delle stesse. Invero, in tale data è entrato in vigore il Regolamento dell’Unione Europea n. 679 del 27 aprile 2016, meglio come noto come GDPR (General Data Protection Regulation), il quale mira all’obiettivo di realizzare una uniforme regolamentazione sul trattamento dei dati personali all’interno dell’Unione Europea. Dati personali, che assumono un’importanza tale da essere qualificati dallo stesso regolamento alla stessa stregua di diritti fondamentali dell’uomo.

QUALI SONO LE PIU’ SIGNIFICATIVE NOVITA’ INTRODOTTE?

Il Regolamento GDPR risolve la complessa questione del trattamento dei dati personali, attraverso la predisposizione di disposizioni normative comuni da applicare nei confronti di tutti quei soggetti che trattano dati personali di cittadini europei. Quanto sopra esposto,  può essere chiarito volgendo l’attenzione al fondamento insito all’obiettivo cui è mirata la nuova normativa regolamentare, individuata ai sensi dell’art. 4 GDPR, ossia fornire uno strumentario normativo idoneo, per quanto possibile, ad armonizzare le singole legislazioni nazionali, non snaturando l’essenza stessa degli ordinamenti di diritto interno.

Sul versante delle innovazioni di maggior rilievo sistematico, degne di essere sottolineate in questa sede, giova evidenziare il rafforzamento dei poteri dell’Autorità centrale per la garanzia dei dati personali, nonché la previsione di nuove figure professionali destinate ad operare all’interno delle compagini aziendali.

Per quanto concerne le nuove figure professionali che, all’interno dell’azienda, si occupano in concreto del trattamento dei dati personali, il GDPR individua:

  • Il titolare del trattamento che, secondo la normativa europea, è qualificato come “La persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi del trattamento sono determinati dal diritto dell’Unione o degli Stati membri, criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.”

  • Il responsabile del trattamento da intendersi come “La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.”. E’ possibile, inoltre, prevedere il responsabile del trattamento in un soggetto esterno all’organizzazione del titolare, ma, allo stesso modo, può anche essere nominato all’interno della medesima organizzazione, purché gli vengano equamente garantite indipendenza e autonomia decisionale.

  • Gli incaricati i quali vengono autorizzati dal titolare o dal responsabile a compiere operazioni di trattamento di dati personali.

  • Il DPO (Data Protection Officer), nuova figura professionale disciplinata dagli articoli 37, 38 e 39 del GDPR, deputata al controllo e alla vigilanza sull’effettivo rispetto del Regolamento all’interno dell’organizzazione aziendale in cui è stata nominata.

In particolare, il titolare e il responsabile del trattamento hanno l’obbligo di redigere per la propria impresa il c.d. “registro dei trattamenti”, all’interno del quale vengono censite le banche-dati periodicamente interrogate, nonché vengono iscritte le singole operazioni di trattamento dei dati personali di volta in volta effettuate nel corso dell’attività aziendale. Da questo punto di vista, per garantire una efficiente sicurezza dei dati personali raccolti, il GDPR introduce dei metodi di pseudonimizzazione (tecniche volte a conservare i dati in una forma tale da impedire l’identificazione del soggetto senza utilizzare informazioni aggiuntive) o cifratura dei dati personali, che obbligano le aziende a redigere informative sul trattamento dei dati personali chiare e comprensibili, indicando quale sarà il loro utilizzo finale.

Gli interessati (ossia chi comunica e cede i propri dati ad altri soggetti che ne diverranno titolari) avranno, infine, il diritto di chiedere al titolare del trattamento l’accesso ai dati personali di propria spettanza, per ottenerne la cancellazione o addirittura per revocare il consenso al trattamento dei suddetti dati.
Inoltre, nell’ipotesi in cui vi sia un “data breach”, ossia una violazione dei dati personali raccolti dalle imprese che causi, anche in via accidentale o illecita, la distruzione, la perdita, l’accesso o la divulgazione non autorizzata, il titolare del trattamento entro 72 ore deve tempestivamente notificare all’Autorità Garante della Privacy la violazione avvenuta, a pena di incorrere in gravi sanzioni.

La grande portata innovativa del GDPR, non è stata tuttavia scevra da problemi interpretativi anche di matrice dottrinale. Infatti, tra gli operatori del settore ci si interroga se, la nuova regolamentazione europea, si affianchi o abroghi in tutto e/o in parte, la precedente disciplina del d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali).
Ed è proprio per queste ragioni, che l’area legale di JESic, con i propri consulenti legali junior, vuole raccogliere la sfida del cambiamento di sistema, affiancando le piccole e medie imprese, nella stesura di privacy policy chiare ed efficaci, affinché le stesse possano mantenersi al passo con i tempi.

Gabriele Alessandro
Legal Junior Consultant in JESic – Junior Enterprise Sicilia

Per ulteriori approfondimenti si veda:
Federica De Stefani, Le regole della privacy – Guida pratica al nuovo GDPR – Hoepli MILANO


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *