Tutti i soggetti interessati degli Stati Membri saranno tenuti ad adeguarsi al nuovo Regolamento Europeo sulla Privacy entro e non oltre il giorno di venerdì 25 maggio 2018. Il mancato aggiornamento rispetto alla normativa comporterà severe sanzioni. Rispetto alle sanzioni amministrative, i soggetti inadempienti dovranno pagare fino ad €. 20.000.000,00 oppure fino al 4,0% del fatturato mondiale totale annuo dell’esercizio precedente. Ancora in costituzione risultano le sanzioni non amministrative: sarà affidato alle autorità di controllo dei Paesi Membri il compito di mettere in atto misure effettive, proporzionate e dissuasive. Chiunque subisca un danno materiale o immateriale da una violazione del Regolamento avrà il diritto di ottenere un risarcimento dal titolare del trattamento.

Il Regolamento UE del Parlamento Europeo e del Consiglio n. 679 del 27 aprile 2016 viene pubblicato in Gazzetta Ufficiale il 04 maggio 2016, con entrata in vigore il ventunesimo giorno successivo a tale data. Il nuovo Regolamento Europeo sulla Privacy o GDPR (General Data Protection Regulation) concerne la protezione delle persone fisiche rispetto al trattamento dei dati personali nonché alla libera circolazione degli stessi. Il Regolamento UE abroga la Direttiva CE del Parlamento Europeo e del Consiglio n. 95/46/CE del 24 ottobre 1995 (“Regolamento generale sulla protezione dei dati”) ed andrà a sostituire completamente l’attuale normativa. Il Decreto Legislativo del Presidente della Repubblica n. 196 del 30 giugno 2003 (“Codice in materia di protezione dei dati personali”), detto “Testo unico sulla Privacy” e divenuto attuativo il 01 gennaio 2004, resterà in vigore fino a giovedì 24 maggio 2018.

Il nuovo Regolamento UE si rivolge a tutti i soggetti (quali persone giuridiche, persone fisiche, enti ed associazioni…) che effettuano trattamenti, cartacei o digitali, di dati personali (nome, cognome, codice fiscale, stato di salute, adesione a sindacati…). Un dato personale è inteso come qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Dal momento che i dati personali non hanno tutti la stessa importanza o rischiosità, il Regolamento UE distingue tre tipologie: dati personali in senso stretto (informazioni riguardanti una persona fisica), dati particolari o ex dati sensibili (informazioni riguardanti razza o etnia, politica, religione, salute, vita sessuale…) e dati giudiziari (informazioni riguardanti condanne penali e/o reati).

Rispetto alla normativa attualmente in vigore, il Regolamento UE introduce diversi cambiamenti, principalmente rivolti alle aziende:
– Sono considerati particolari (ex dati sensibili) i dati personali come l’appartenenza sindacale, la razza o etnia, le opinioni politiche, le convinzioni religiose e filosofiche, le informazioni genetiche e biometriche, lo stato salute, la vita e orientamento sessuale.
– Tutte le aziende, liberi professionisti, enti ed associazioni devono predisporre una “Mappatura delle operazioni di trattamento dei dati personali” per verificare la tipologia e le modalità di trattamento dei dati personali, che si concretizzerà in una vera e propria “Analisi dei rischi”.
– Tutte le aziende che trattano dati particolari o giudiziari oppure che abbiano più di n. 250 dipendenti devono predisporre e aggiornare periodicamente un “Registro dei trattamenti dei dati personali“, contenente informazioni quali finalità e modalità dei trattamenti, misure di sicurezza adottate, categorie di dati, durata di conservazione, addetti autorizzati al trattamento.
– Qualora un trattamento venga effettuato da soggetti esterni per conto dell’azienda, deve essere nominato il “Responsabile del trattamento dei dati personali“, del cui operato l’azienda nominante risponderà in solido.
– Qualora un tipo di trattamento, oltre a riguardare particolari categorie di dati, preveda l’utilizzo di nuove tecnologie o presenti un potenziale rischio elevato per i diritti e le libertà delle persone fisiche, il titolare dello stesso deve effettuare preventivamente una “Valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali” (DPIA – Data Protection Impact Assessment).
– Per amministrazioni ed enti pubblici nonché per soggetti che effettuano trattamenti su larga scala di dati personali o particolari, viene introdotta la nuova figura del “Responsabile della protezione dei dati personali” (DPO – Data Protection Officer).
– Tutte le persone autorizzate al trattamento dei dati (addetti) devono svolgere una formazione specifica sull’argomento.

Le principali figure previste dal nuovo Regolamento UE sono il titolare del trattamento, il responsabile del trattamento, il rappresentante del titolare del trattamento, il responsabile della protezione dei dati, i contitolari, gli addetti o incaricati autorizzati al trattamento nonché l’autorità di controllo.

Poiché non esistono un disciplinare tecnico o una lista minima, le misure di sicurezza tecniche ed organizzative devono essere adeguate alla finalità del trattamento ed alla tipologia di dato oggetto del trattamento stesso. Il titolare del trattamento è tenuto ad adottare misure adeguate a garantire il rispetto dei principi di protezione dei dati (Privacy by Design) nonché l’utilizzo dei soli dati personali necessari ad ogni specifica finalità. Per il principio di responsabilizzazione (Accountability), il titolare del trattamento deve giudicare quali siano le misure adeguate alla sua situazione e deve poter comprovare il rispetto dei principi richiesti. In caso di violazione dei dati personali, il titolare del trattamento deve inviarne notifica all’autorità di controllo nei tempi e modi prescritti (Data Breach Notification).

Per il nuovo Regolamento UE, i dati personali risultano trattati in modo lecito, corretto e trasparente nei confronti dell’interessato solo se quest’ultimo ha espresso il consenso oppure se il trattamento è necessario (per l’esecuzione di un contratto o per adempiere ad un obbligo legale o per la salvaguardia di interessi vitali o per lo svolgimento di un compito di interesse pubblico o per la prosecuzione di un legittimo interesse del titolare).