A distanza di diciannove anni dall’entrata in vigore – 8 maggio 1997 – della prima legge italiana in materia di privacy, lo scorso 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 (in seguito anche il “Regolamento”), il quale entrerà in vigore 25 maggio 2018.
Tale Regolamento si inserisce all’interno di quello che, insieme alla Direttiva 2016/680, è stato definito il “Pacchetto europeo protezione dati”. Dalla data di pubblicazione i media hanno iniziato ad utilizzare l’acronimo “GDPR” per riassumere la definizione General Data Protection Regulation.
Gli Stati membri ad ogni modo, sebbene il Regolamento, in quanto tale, non abbia bisogno di recepimento, hanno due anni per adeguare le proprie normative interne nonché, le aziende, per essere sensibilizzate alle novità introdotte.
Ciò, anche in considerazione del fatto che il Regolamento attribuisce alla Commissione europea il potere di adottare atti delegati e di esecuzione, al fine di rendere operativa la disciplina, ma lascia ai legislatori nazionali la facoltà di introdurre, a seconda delle circostanze, norme nazionali ad hoc.
Le novità introdotte con il Regolamento riguarderanno, dal punto di vista delle aziende (i c.d. “titolari” del trattamento dei dati personali) tutte quelle che – salvo qualche eccezione, una in particolare di cui si dirà tra breve, relativamente alle aziende medio e piccole – avendo uno stabilimento all’interno dell’UE, trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell’UE stessa.
Dal punto di vista, invece, delle persone fisiche – i c.d. “interessati” al trattamento dei propri dati – la nuova normativa si applicherà a tutti i soggetti presenti nell’UE anche quando, sebbene l’azienda titolare del trattamento non abbia uno stabilimento in territorio UE, il trattamento stesso riguardi (i) l’offerta di beni o la prestazione di servizi ai soggetti interessati o (ii) il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno dell’UE.
Ma veniamo ora ad analizzare, nel dettaglio, alcune delle novità di maggior rilievo.
Tra le prime, merita sicuramente attenzione particolare una nuova figura – e professionalità – che va ad affiancarsi alla nomenclatura già conosciuta nel nostro Codice Privacy, ovvero al “titolare”, al “responsabile” e all’ “incaricato” del trattamento dei dati.
Tale nuova figura è quella del Data Protection Officer (“DPO”), il “responsabile della protezione dei dati”.
Il DPO dovrà essere obbligatoriamente presente all’interno di tutte (i) le aziende pubbliche nonché in tutte quelle ove i trattamenti presentino specifici rischi, come ad esempio (ii) le aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli “interessati”, su larga scala, e quelle (iii) che trattano i c.d. “dati sensibili”.
Le società facenti parte di uno stesso gruppo, a livello nazionale o transfrontaliero, potranno nominare un unico DPO, a condizione che lo stesso sia facilmente raggiungibile da ciascuna società del gruppo stesso.
Il DPO, inoltre, potrà essere un dipendente della società titolare del trattamento o, in alternativa, assolvere i propri compiti in base ad un contratto di servizi. Ad ogni modo, ogni azienda dovrà rendere noti i dati del proprio DPO – il quale dovrà essere contattabile da tutti i soggetti “interessati” – nonché comunicarli al locale “Garante per la protezione dei dati personali”.
Interessante, poi, il ruolo che il Regolamento destina al DPO. Leggendo l’art. 38, comma 3, si intuisce come il responsabile della protezione dei dati potrà avere, all’interno dell’azienda, una caratura che nulla avrà da invidiare a professionalità quali quella del CFO, o del General Counsel o HR Manager, in quanto, è stabilito, il DPO riferirà direttamente al CEO o comunque ai vertici gerarchici della società, senza intermediazioni, e con grande autonomia e indipendenza, rispetto agli altri dirigenti.
Per chiudere sul punto, ecco i principali compiti cui sarà adibito il DPO:
- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento;
- verificare l’attuazione e l’applicazione della normativa, oltre alla sensibilizzazione e formazione del personale e dei relativi auditors ;
- fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fungere da punto di contatto per gli “interessati”, in merito a qualunque problematica connessa al trattamento dei loro dati nonchéall’esercizio dei loro diritti;
- fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
Altra novità di rilievo, è l’introduzione dell’obbligo, per ogni azienda titolare del trattamento dei dati, di tenere un “registro delle attività di trattamento”, svolte sotto la propria responsabilità, nonché quello di effettuare una “valutazione di impatto sulla protezione dei dati”.
Quest’ultimo adempimento, in particolare, è richiesto ad esempio in relazione (i) ai trattamenti automatizzati, ivi compresa la profilazione, o con riguardo (ii) ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico. Sarà ad ogni modo il Garante Privacy (per quanto riguarda l’Italia), a redigere e rendere pubblico l’elenco delle tipologie di trattamenti soggetti al requisito della “valutazione di impatto sulla protezione dei dati”.
Per chiudere sul punto si rileva come (ed ecco l’eccezione cui si è fatto riferimento in apertura) il comma 5 dell’art. 30 del Regolamento esoneri dagli adempimenti appena accennati le piccole e medie imprese, quelle dunque con meno di 250 dipendenti, a meno che, però, “…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (sensibili)…o i dati personali relativi a condanne penali…” (si vedrà come sarà interpretato ed applicato tale articolo, nella prassi).
Ancora, andando a concludere, il Regolamento:
- riconosce espressamente il “diritto all’oblio”, ovvero la possibilità per l’interessato di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o quando si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento;
- stabilisce il diritto alla “portabilità dei dati”, in virtù del quale l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti, qualora l’interessato abbia fornito il proprio consenso al trattamento o se questo sia necessario per l’esecuzione di un contratto;
- sancisce il principio di “accountability”, per cui il titolare dovrà dimostrare l’adozione di politiche privacy e misure adeguate in conformità al Regolamento;
- introduce il principio della “privacy by design” (dal quale discende l’attuazione di adeguate misure tecniche e organizzative sia all’atto della progettazione che dell’esecuzione del trattamento) nonché quello della “privacy by default” (che ricalca il principio di necessità di cui all’attuale disciplina, stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini).
Infine, per quanto concerne il “sistema sanzionatorio”, il Regolamento ha aumentato l’ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.