LE NOVITA' IN MATERIA DI PRIVACY
Il nuovo Regolamento UE n. 2016/679, sulla protezione dei dati personali, sarà pienamente applicabile in tutti i Paesi dell’Unione Europea a partire dal prossimo 25 maggio 2018 e, in Italia, andrà a sostituire il D.lgs. 196/2003 (c.d. Codice Privacy) attualmente vigente.
Entro la suddetta data, pertanto, tutte le aziende europee dovranno adeguare le proprie procedure alla nuova normativa in tema di privacy, provvedendo ad effettuare i numerosi adempimenti richiesti, che vanno ad integrare quelli già esistenti.
In particolare, in virtù della nuova normativa, bisognerà riscrivere o comunque adeguare le policy interne aziendali e le informative, che dovranno contenere elementi più dettagliati rispetto al passato.
Una delle principali novità apportate dal Regolamento è rappresentata dall’introduzione di un registro che contenga tutte le informazioni riguardanti il trattamento dei dati (soggetti, finalità e tipo di trattamento, etc.); esso ha lo scopo di consentire una gestione più organizzata del trattamento, ma anche di permettere all’autorità competente di svolgere agevolmente eventuali controlli.
La tenuta del suddetto registro è obbligatoria solo per le aziende che contano alle proprie dipendenze più di 250 lavoratori, tuttavia il Garante della Privacy nazionale ne ha consigliato l’utilizzo a tutti i soggetti.
Un’altra fondamentale novità del Regolamento UE sulla privacy è data dall’introduzione della nuova figura del “DPO” (Data protection officer o Responsabile della protezione dei dati).
La nomina del Dpo non è sempre necessaria per legge; egli dev’essere designato obbligatoriamente dagli enti pubblici, mentre i soggetti privati sono tenuti a nominarlo solo qualora il trattamento dei dati si riveli particolarmente rischioso, ossia quando richieda un monitoraggio sistematico degli interessati su larga scala, oppure quando il trattamento, sempre su larga scala, riguardi categorie particolari di dati.
Tuttavia, anche in questo caso, è possibile che in futuro il Garante ne raccomandi la nomina anche nei casi in cui essa non sia obbligatoria per legge; il Responsabile della protezione dei dati rappresenta infatti una figura fondamentale nel quadro della nuova disciplina sulla privacy, in quanto ha il compito di fornire consulenza, di vigilare sul trattamento dei dati e di garantire che esso si svolga conformemente al Regolamento.
A tal proposito, è importante ricordare che la funzione di Dpo può essere attribuita sia ad un dipendente dell’azienda, sia ad un soggetto esterno; in ogni caso, egli, dato il suo ruolo, gode di una posizione di imparzialità ed indipendenza, tale per cui non può ricevere istruzioni o direttive, su tali compiti, da parte del soggetto che svolge il trattamento.
Sul punto, poco tempo fa il Garante italiano ha precisato che, ai fini dell’attribuzione del ruolo di Dpo, la normativa non richiede, come requisito necessario, il possesso di particolari certificati o l’iscrizione a determinati albi, tuttavia un documento che attesti le competenze del soggetto o lo svolgimento di un percorso formativo specifico, potrebbe risultare utile ai fini della nomina.
