Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy.
Il decreto attuativo approvato dal Consiglio dei Ministri l’8 agosto 2018 dà tempo fino al 10 maggio 2019 per mettersi in regola.
Il nuovo Regolamento generale sulla protezione dei dati GDPR (General Data Protection Regulation) rafforza il controllo dei cittadini dell’Unione Europea sui propri dati personali, ed impone alle aziende di rafforzare le misure adottate per la protezione dei dati e la tutela della privacy adottate.
Il testo dell’informativa dovrà essere redatto in modo da poter essere facilmente comprensibile anche per minori di 16 anni e dovrà indicare nuove informazioni prima non previste come ad esempio origine dei dati utilizzati, tempo di conservazione, dati di contatto DPO, ove presente.
Ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime). Questo potrà accadere ad esempio in ambito web quando un utente richiederà l’eliminazione dei propri dati in possesso di un social network o di altro servizio web.
L’interessato potrà richiedere la portabilità dei suoi dati personali ad altro titolare del trattamento.
Oltre al Titolare Responsabile del trattamento viene introdotta una nuova figura ossia quella del RPD (Responsabile Protezione Dati) o DPO (Data Privacy Officer) che dovrà avere particolari competenze e che laddove previsto avrà un ruolo centrale nella gestione della privacy aziendale.
A lui spetterà infatti la valutazione dei rischi della privacy sull’organizzazione aziendale, la formazione e sensibilizzazione di tutti coloro che gestiscono i dati.
Potrà essere una figura interna all’azienda o anche un soggetto terzo. La sua designazione è obbligatoria in tutti i casi previsti dall’art 37 ovvero organi pubblici o anche privati in cui le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; laddove non previsto questo ruolo sarà in capo al titolare/responsabile.
Con esso, si sposta sul Titolare del trattamento l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure privacy adottate nel rispetto del Regolamento Europeo.
Ossia necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Trattasi di una valutazione del rischio di impatti negativi sulle libertà e i diritti degli interessati.
Tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione, tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.
All'esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l'autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale.
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30.
Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico indispensabile per ogni valutazione e analisi del rischio.