REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016

Perché l'esigenza di nuove regole sulla Privacy

Non tutti siamo a conoscenza del fatto che quando scattiamo una foto, inseriamo un commento sul nostro social network preferito, utilizziamo il nostro smartphone per trovare un luogo che ci interessa, o più semplicemente, ci colleghiamo ad un sito, i nostri dati personali (es.: posizione, email, etc.) possono essere monitorati ed elaboratori dalle società che forniscono il servizio stesso.

Questo fenomeno, con l'avvento e l'enorme successo delle piattaforme di Social Network e Smartphone degli ultimi anni, ha avuto una crescita esponenziale e deregolamentata. La direttiva 95/46/Ce del 1995, infatti, non era più sufficiente a tutelare l'utilizzo dei dati personali. L'aggiornamento della normativa in materia di protezione dei dati personali e l'esigenza di iniziare un percorso di realizzazione di un mercato Europeo unico digitale, hanno portato il Parlamento Europeo a varare il nuovo Regolamento 2016/679.

euronews.mp4

Una delle novità introdotte dal nuovo Regolamento Europeo sulla protezione dei dati - GDPR (General Data Protection Regulation) è il RPD ("Responsabile della protezione dei dati personali" - vedi definizione seguente tratta dal sito del Garante della privacy). Il RPD annovera tra le sue mansioni anche quello di formare ed informare relativamente all'applicazione della nuova normativa. Per questo motivo abbiamo deciso di pubblicare questo sito che ha, appunto, l'obiettivo di informare e quindi formare su ciò che concerne l'applicazione del GDPR. Questo sito, costantemente aggiornato sulle novità in materia di protezione dei dati, vuole essere il primo di una serie di iniziative e strumenti formativi volti alla formazione in materia di Privacy.

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall'art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo. Coopera con l'Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento). 

Il 25 Maggio scorso è entrato in vigore il nuovo regolamento europeo in materia di protezione dei dati - GDPR che abroga la direttiva 95/46/CE.

Il regolamento, in quanto tale, a differenza delle direttive e delle decisioni Europee, ha: "portata generale" e cioè si applica in tutti i paesi delle Comunità e "applicabilità diretta" e cioè che non necessita di decreti attuativi.

I regolamenti, però, data la natura di portata generale, non possono contenere provvedimenti di competenza del legislatore nazionale e specificità giuridiche e collegamenti con le norme in essere del Paese Comunitario.

Pertanto, il legislatore nazionale è tenuto ad emanare i cosiddetti "decreti di coordinamento o di armonizzazione" che integrano i regolamenti e abrogano selettivamente le norme in contrasto con i nuovi provvedimenti.

In Italia, l'approvazione del nuovo decreto è stata rimandata al mese di Agosto. A questo vuoto legislativo sta cercando di porre rimedio il Garante della Privacy , pubblicando circolari, documentazione e linee guide (es.: Guida all'applicazione del GDPR) che in parte anticipano quelli che potrebbero essere i contenuti del nuovo decreto legislativo e aiutano gli addetti ai lavori ad adeguarsi per tempo.

IL NUOVO REGOLAMENTO

Il GDPR , composto da 99 articoli, si pone l'obiettivo di uniformare tutte le attuali leggi europee in materia di trattamento dei dati e rafforzare il diritto delle persone a controllare i propri dati e le proprie informazioni. I destinatari del regolamento sono i «titolari del trattamento», ossia chi gestisce le informazioni.

Il GDPR istituisce alcune novità come il diritto all'oblio, la «portabilità» dei dati, l’obbligo di notifica da parte del titolare in caso di violazione dei dati entro 72 ore (articolo 33), una richiesta di consenso in forma chiara (articolo 7), l’istituzione di un registro delle attività (articolo 30) e la designazione di un «responsabile della protezione di dati» (articolo 37).

Uno degli aspetti più importati introdotti dal nuovo Regolamento è il concetto di "accountability" anche in ambito di trattamento dei dati.

25-05-18-119072-General_Data_Protection_Regulation-Clip-IT_HD.mp4

Accountability

Tratto dal dizionario Treccani. Accountability:

"Responsabilità incondizionata, formale o non, in capo a un soggetto o a un gruppo di soggetti (accountors), del risultato conseguito da un’organizzazione (privata o pubblica), sulla base delle proprie capacità, abilità ed etica. Tale responsabilità richiede giudizio e capacità decisionale, e si realizza nei confronti di uno o più portatori di interessi (account-holders o accountees) con conseguenze positive (premi) o negative (sanzioni), a seconda che i risultati desiderati siano raggiunti o disattesi. L’accento non è posto sulla responsabilità delle attività svolte per raggiungere un determinato risultato, ma sulla definizione specifica e trasparente dei risultati attesi che formano le aspettative, su cui la responsabilità stessa si basa e sarà valutata. La definizione degli obiettivi costituisce, dunque, un mezzo per assicurare l’accountability."

L’ accountability, quindi, coinvolge aspetti quali affidabilità e competenza nella gestione dei dati personali. Il nuovo regolamento, infatti, delinea quelle che sono le misure necessaria per essere GDPR compliance, senza però entrare nel merito (incondizionata) della scelte fatte dal titolare del trattamento dei dati, il quale risponderà direttamente nei confronti degli organi di controllo dei risultati ottenuti.

In particolare il GDPR introduce tale principio all’art. 24 dove prevede che tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

Documentazione

Continua a leggere la pagina di "Approccio basato sul rischio"

Il regolamento pone con forza l'accento sulla  "responsabilizzazione" (accountability nell'accezione inglese) di titolari...