Il Nuovo regolamento europeo 2016/679 sulla Privacy

Il prossimo 25 maggio 2018 entra in vigore il nuovo Regolamento europeo sulla protezione dei dati personali delle persone fisiche direttamente applicabile nel nostro ordinamento. Lo Stato italiano con la L. n. 163/2017 ha altresì delegato il Governo di emanare i decreti necessari per il coordinamento e l’armonizzazione con la legislazione interna vigente e segnatamente con il Codice della privacy (D.Lgs. 196/2003).

Nel suddetto Regolamento è prevista una forte responsabilizzazione (la c.d. accountability) del Titolare del trattamento dei dati, e del Responsabile del trattamento se nominato, al fine dell’adozione di comportamenti proattivi e delle misure di sicurezza necessari ad evitare la sottrazione illecita dei dati riferibili alle persone fisiche e rendere conforme l’attività aziendale al Regolamento (la c.d. compliance) pena l’applicazione di severe sanzioni amministrative pecuniarie (fino al 4% del fatturato mondiale per le persone giuridiche o venti milioni di euro per le persone fisiche) e/o penali.

I criteri che deve seguire il Titolare nel trattamento dei dati personali sono sostanzialmente due: 1) assicurare la tutela dei dati personali e la riduzione al minimo del loro trattamento strettamente necessario per le finalità del trattamento stesso fin dalla progettazione (by design) del sistema di trattamento tenendo in considerazione i rischi per i diritti e  le libertà dei soggetti interessati (“risk based approach”) ; 2)  non abbandonare mai questo approccio, assicurandone l’implementazione come elemento predefinito (by default) e non derogabile del trattamento e processi aziendali.

Pertanto prima di intraprendere il trattamento occorrerà effettuare una valutazione di impatto dell’organizzazione aziendale sulla protezione dei dati personali  e delle misure tecniche ed organizzative da adottare per ridurre il rischio nonchè l’eventuale designazione della nuova figura introdotta dal Regolamento e cioè il Responsabile della protezione dei dati personali (“DPO” ovvero Data protection officer) che è un professionista interno od esterno all’azienda (dunque anche un avvocato) dotato di particolari conoscenze legali, tecniche e gestionali che in posizione di indipendenza rispetto al Vertice aziendale si rapporta con il Titolare del trattamento,  con gli Interessati nonché con il Garante per la privacy. Da ultimo potrebbe essere opportuno dotarsi di una certificazione al fine di rendere compliance l’azienda alla privacy by design and by default ed evitare così in caso di violazione del Regolamento l’applicazione di  severe sanzioni.

Lascia un Commento

*