Risposta
Il nuovo Regolamento, insieme alla Direttiva in materia di trattamento e tutela dei dati personali nei settori di prevenzione, contrasto e repressione dei crimini, costituisce il così detto “Pacchetto protezione dati” , che è stato approvato da parte del Parlamento dell’Unione Europea il 14 aprile del 2016.
Il Regolamento Europeo 679/2016, è opportuno sottolinearlo, è soprattutto un documento di indirizzo e non un insieme di precise regole di comportamento che, eventualmente, saranno elaborate in sede di adozione nel nostro ordinamento giuridico da parte del legislatore nazionale e successivamente riunite in un “Codice”, così come a suo tempo è accaduto con il Decreto Legislativo 30 giugno 2003, n. 196.
In quanto documento di indirizzo, il Regolamento offre un quadro di riferimento in termini di compliance per la protezione dei dati in Europa, aggiornato e fondato sul principio della responsabilizzazione (“accountability”, secondo la terminologia anglosassone) e troverà applicazione direttamente per tutti gli Stati Membri a partire dal 25 maggio 2018.
In linea di massima, e relativamente a ciò che distingue il Codice per la tutela dei dati personali italiano dal Regolamento Ue, si può senz’altro dire che l’aspetto più significativo è sicuramente quello che si può definire come un cambio di approccio del Codice UE rispetto a quello del Decreto Legislativo 30 giugno 2003, n. 196 attualmente ancora in vigore in Italia (e tale resterà sino al 25 maggio p.v.) ed in particolare a quello che è l’Allegato B, ovvero al Disciplinare Tecnico delle Misure Minime di Sicurezza.
Il Regolamento Ue, infatti, non interviene definendo dei requisiti specificati in maniera precisa, come invece avviene per l’attuale normativa italiana sulla privacy, ma sposta la responsabilità di definire le misure di sicurezza idonee a garantire la sicurezza dei dati personali sul “titolare del trattamento”, definizione che deve seguire un’attenta analisi di quelli che possono essere i rischi.
Pertanto, nel quadro normativo delineato dal Regolamento Ue non vi sono più delle misure minime di sicurezza stabilite “ex lege” ma solo delle misure di sicurezza che devono essere individuate e progettate dal “titolare del trattamento” o dal “responsabile del trattamento” , dopo avere condotto un’attenta analisi dei rischi (ed è proprio l’analisi dei rischi, condotta alla luce, anche, della tipologie e della rilevanza per l’interessato dei dati che dovranno essere sottoposti a trattamento, che diventa il momento centrale di tutto il processo).
Da ciò consegue che il trattamento dei dati non può che avere inizio soltanto dopo la definizione delle misure di sicurezza secondo uno schema operativo che va da una prima fase costituita dalla definizione della tipologia di dati da sottoporre a trattamento, ad una seconda fase rappresentata dall’indicazione del tipo di trattamento cui sottoporli, ad una terza, in cui si provvederà alla verifica di quali possono essere i rischi di violazione della privacy dei dati nel corso del trattamento, ad una quarta in cui si dovrà passare all’identificazione delle opportune misure di sicurezza che dovranno essere prese.
Da un punto di vista formale-organizzativo il nuovo Regolamento Europeo obbliga invece a ridefinire la parte documentativa del Decreto Legislativo n. 196/2003, ma nella sostanza molti aspetti restano confermati, anche se sotto forme diverse:
• il diritto all’oblio, da più parti punto ritenuto qualificante della nuova normativa, era in realtà già identificato attraverso la definizione dei diritti dell’interessato operata dal Codice;
• l’informativa sul trattamento dei dati personali conterrà le stesse informazioni che erano richieste dal Decreto Legislativo n. 196/2003;
• le modalità e la liceità dei trattamenti e dei consensi che l’interessato dovrà fornire al fine di rendere possibile il trattamento dei propri dati, comunque viaggerà sulle stesse logiche precedenti;
• i registri dei trattamenti erano già presenti nell’elenco dei trattamenti e nel DPS (Documento Programmatico di Sicurezza);
• l nuovo Piano di Adeguamento Minimo (PAM) altro non è che il vecchio piano di miglioramento.
Un discorso diverso va fatto per le sanzioni, che raggiungeranno il 4% del fatturato totale dei trasgressori o i 20 milioni di euro, per la portabilità dei dati, di cui all’articolo 20 del GDPR 16/679 (in base al quale ogni soggetto potrà chiedere ad un'organizzazione di ricevere i propri dati personali forniti in precedenza in un formato di uso comune e leggibile e di ottenerne la trasmissione da un titolare del trattamento a un altro se non sono presenti particolari impedimenti tecnologici, l'istituzione del “Data Protection Officer” (o DPO) ovvero il responsabile aziendale per la protezione dei dati e la gestione dei “data breach” (ovvero le violazioni dei dati personali).
La risposta è tratta dall'ebook: Privacy studi professionali - Autore Massimo Pipino
Ti puo interessare anche il Pacchetto Privacy contenente tre ebook che spiegano la nuova normativa a Tutela della Privacy