- REGOLAMENTO EUROPEO 679/2016: BREVI CENNI -

Il recente Regolamento Europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla loro libera circolazione che abroga la direttiva 95/46/CE, offre un quadro giuridico più solido e coerente in materia di protezione dei dati in tutti gli Stati membri.

Il principio di trasparenza, il principio di accountability, il principio della privacy by design sono solo alcuni dei principi di maggior rilievo.

Il Principio di Accountability ha l’obiettivo di rafforzare i diritti dei cittadini nei confronti di imprese e pubbliche amministrazioni.

Tutto ciò si traduce in un obbligo di responsabilizzazione e rendicontazione in capo alle imprese.

All’art. 5 del Reg. sono elencati i principi applicabili al trattamento dei dati personali: liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

All’art. 5, para. 2 viene introdotto il principio di responsabilizzazione: “il titolare del trattamento è competente per il rispetto del para. 1 e in grado di comprovarlo”.

Peculiari sono i nuovi istituti della “privacy by design” e della “privacy by default”.

Con il primo, il regolamento prevede che l’imprenditore assicuri gli adempimenti per la protezione dei dati fin dalla fase di progettazione ed ingegnerizzazione dei prodotti, servizi etc.

L’istituto della privacy by default, invece, mira a far sì che la data protection diventi l’impostazione predefinita in ogni fase aziendale.

Tra le novità di rilievo si segnala quanto previsto all’art. 35 “Valutazione d’impatto sulla protezione dei dati”, il quale richiede una valutazione da parte del Titolare del trattamento, quando un tipo di trattamento prevede l’uso di nuove tecnologie che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

L’ulteriore elemento che discende dal principio di responsabilizzazione – e che ha una rilevante conseguenza sul piano pratico – è riscontrabile nell’obbligo di dimostrazione, gravante sul titolare del trattamento, di aver rispettato i principio generali di cui al paragrafo 1 dell’articolo 5 e di aver adottato misure tecniche e organizzative adeguate (paragrafo 1, articolo 24).

È essenziale, pertanto, che la responsabilizzazione del titolare del trattamento debba essere intesa (oltre che come autovalutazione di conformità) anche come acquisizione di evidenze probatorie finalizzate a comprovare che le disposizioni del Regolamento siano state rispettate e, quindi, che il trattamento è ad esso conforme.

Le attività principali del titolare del trattamento o del responsabile consistono nel trattamento, su larga scala, di categorie particolari di dati come quelli sensibili o giudiziari, il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati (data protection officer - DPO).

Particolare attenzione, inoltre, viene rivolta ai costi di cui si dovranno far carico le aziende: è significativo come il regolamento consenta, in presenza di progetti industriali trasversali a più imprese, che i titolari del trattamento possano procedere ad un unico data privacy impact assessment, consentendo quindi di ridurre gli oneri legati a questo importante adempimento. 

---