Dopo un percorso durato più di quattro anni, il 14 aprile 2016 è stato approvato il nuovo Regolamento Privacy, che tutelerà i cittadini mediante un elevato livello di protezione, uniforme in tutti gli Stati membri dell’Unione Europea.
Poiché le questioni investono anche l’online, mi sembra importante esaminare almeno i contorni della novità anche in questa sede.
Il nuovo Regolamento, che in Italia sostituirà l’attuale Codice della Privacy (Dlgs 196/2003, il quale resterà solo fonte suppletiva), è stato concepito per conferire ai singoli strumenti di maggiore controllo sulle proprie informazioni personali, adattando le norme ai progressi tecnologici intervenuti nei quasi tre lustri intercorsi nel frattempo.
Per i trasgressori sono previste multe micidiali, ancora peggiori, e di gran lunga, di quelle previste per il mancato o insufficiente rilascio delle cookie policy: infatti potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo (!).
Il nuovo Regolamento prevede, fra l’altro, nuove disposizioni sul diritto all’oblio, sul diritto di trasferire i dati ad un altro fornitore di servizi, sul consenso chiaro e informato al trattamento dei dati personali, sul diritto di essere informati quando i propri dati sono stati violati e sull’obbligo per le imprese di utilizzare un linguaggio chiaro e comprensibile nelle informative sulla privacy.
Come ha precisato il Garante, viene prevista inoltre l’istituzione di un Responsabile della protezione dei dati personali (cd privacy officer) che sarà obbligatorio per:
– amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
– tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
– tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Un titolare del trattamento o un responsabile del trattamento potranno comunque designare un Responsabile della protezione dei dati personali anche in casi diversi da quelli sopra indicati. Un gruppo di imprese o soggetti pubblici potranno nominare un unico Responsabile della protezione dei dati.
Il Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati
personali, adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse e operare alle dipendenze del titolare o del responsabile o sulla base di un contratto di servizio.
Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
I compiti del Responsabile della protezione dei dati personali saranno:
– informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell‘Unione o degli Stati membri relative alla protezione dei dati;
-verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del titolare o del responsabile del trattamento in materia
di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento e gli audit relativi;
– fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
– fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
Il Regolamento sarà pubblicato a breve e nella Gazzetta ufficiale dell’Unione Europea ed entrerà in vigore 20 giorni dopo. Dopo tale data, gli Stati membri avranno un periodo di tempo di due anni per adeguarsi.
Foto credit: Biljana Jovanovic/Pixabay
