Il 25 maggio scorso ha trovato applicazione, nel nostro Paese, la nuova normativa europea in tema di privacy.

Questa nuova disciplina, inerente al tema della protezione dei dati personali, è contenuta nel Regolamento Europeo 679/2016 conosciuto come GDPR (General Data Protection Regulation).

In questo nostro nuovo articolo andremo ad approfondire alcuni degli aspetti più importanti di questa nuova normativa concentrandoci innanzitutto su quelle che sono le finalità di questo Regolamento e sui soggetti che dovranno garantire la tutela del dato personale.

Inoltre focalizzeremo l’attenzione su come è necessario adattarsi a questo nuovo cambiamento legato alla disciplina privacy.
Torna in Cima

Quali sono le finalità del GDPR?

Il principale obiettivo che ha mosso il legislatore europeo nella formazione della nuova disciplina in materia di privacy è per lo più legato alla volontà di armonizzare tutte le regole legate al trattamento dei dati di tutti i paesi dell’Unione Europea.

La protezione del dato personale, per l’Unione Europea, ha sempre rappresentato una questione di primaria importanza, in quanto quest’ultimo rappresenta una parte fondamentale della personalità dell’individuo.

Tale protezione del dato è però sempre stata fortemente minacciata dalla grande differenza tra le diverse normative, a tutela dello stesso, diffuse nei vari paesi membri dell’Unione.

L’armonizzazione dei principi in tema di protezione dei dati in un’unica normativa direttamente applicabile in tutti i paesi membri consentirà quindi di ovviare a tutte le minacce connesse alla protezione dei dati di tutti i cittadini europei.

È inoltre fondamentale considerare che se prima dell’introduzione del regolamento 679/2016 l’applicabilità delle disposizioni contenute nelle vigenti normative in tema di privacy considerava esclusivamente la sede del soggetto titolare del trattamento dei dati personali, con il GDPR si dovrà invece considerare il fatto che il cittadino risieda o meno all’interno dei confini europei.

In questo modo quindi, anche quando un individuo, titolare del trattamento dei dati personali di un cittadino europeo, dovesse risiedere in un paese extra europeo dovrà comunque rispettare tutte le disposizioni contenute nel Regolamento europeo 679/2016.

Grazie a questo innovativo approccio sarà quindi possibile garantire una maggiore protezione dei dati personali di tutti i cittadini europei anche qualora tali dati dovessero essere trattati da individui non comunitari.
Torna in Cima

I soggetti responsabili del trattamento dei dati

dpo-gdpr

La nuova normativa europea in tema di privacy focalizza l’attenzione sul titolare del trattamento definito come la persona fisica o giuridica, l’Autorità pubblica, il servizio o altro organismo a cui spettano tutte le responsabilità nell’ambito di uno specifico trattamento di dati personali.

Per poter consentire un’efficace e completa protezione del dato personale risulta fondamentale andare a delineare il tracciamento di una “catena di custodia del dato” attraverso la quale risulti possibile definire i soggetti che andranno a garantire la tutela dei vari dati. All’interno di questa catena di custodia del dato assumono particolare importanza i seguenti soggetti:

  • Responsabile del trattamento dei dati: viene nominato dal titolare del trattamento tramite contratto. Tale contratto per essere valido è necessario che sia realizzato rispettando le disposizioni contenute nell’art. 28, paragrafo 3, del Regolamento europeo 679/2016. Tra i principali compiti del Responsabile del trattamento dei dati troviamo:
    • Tenuta del registro dei trattamenti svolti contenente il riepilogo aggiornato di tutti i trattamenti di dati posti in essere all’interno dell’impresa. Questo registro non è obbligatorio per le aziende con meno di 250 dipendenti a meno che il trattamento di dati che esse effettuano possa rappresentare un rischio per l’interessato;
    • Adottare idonee ed efficaci misure tecniche ed organizzative per poter garantire la sicurezza dei trattamenti che vengono posti in essere dal titolare del trattamento;
    • Nominare, qualora dovesse risultare necessario, il DPO (Data Protection Officer) ossia il soggetto responsabile per la protezione dei dati.
  • DPO (Data Protection Officer): il responsabile della protezione dei dati rappresenta una nuova figura introdotta dalla nuova normativa europea in tema di privacy. Il DPO svolge la fondamentale funzione di assicurarsi che il Regolamento europeo 679/2016 sia applicato dal titolare del trattamento nei giusti termini.
    È una figura obbligatoria per tutti i soggetti che realizzano trattamenti che richiedono un monitoraggio continuo e sistematico perché realizzati su larga scala o perché riguardanti particolati categorie di dati personali. In termini più specifici il Garante della Privacy è andato ad indicare che saranno tenuti alla nomina del DPO tutti gli istituti di credito, le imprese assicurative, le società finanziarie, i CAF e i patronati e tutte le società operanti nel settore della cura e della persona.

Torna in Cima

Come bisognerà approcciarsi al cambiamento?

Per potersi adeguare al meglio alla nuova normativa europea in tema di privacy è innanzitutto fondamentale individuare un percorso che consenta di giungere alla piena attuazione dei principi basilari contenuti nel GDPR.

Presupponendo la necessaria conoscenza della normativa, come prima cosa è importante identificare i trattamenti di dati personali che vengono effettivamente realizzati nello svolgimento della propria attività. Successivamente è importante individuare le unità aziendali che si occupano concretamente di tali trattamenti definendo anche quali soggetti autorizzare al trattamento di dati stesso.

L’operazione più importante risulta indiscutibilmente però essere collegata all’individuazione dei rischi che incombono sui dati personali dei soggetti interessati dai vari trattamenti. Quest’ultima operazione risulta essere particolarmente importante perché proprio dalla valutazione dell’impatto che i trattamenti hanno sui dati personali dei soggetti interessati è possibile valutare l’adozione di contromisure adeguate.

Inoltre è fondamentale comprendere fin da subito che non sarà più in alcun modo sufficiente intendere la protezione dei dati in modo statico, questo perché, per poter garantire un adeguata e completa protezione, sarà necessario procedere con valutazioni periodiche della situazione esistente e con analisi preventive legate alle eventuali introduzioni di nuovi trattamenti.

Tutto ciò passerà attraverso un’efficace documentazione e rendicontazione di tutte le attività svolte per garantire la protezione del dato.

Infine quindi risulterà di primaria importanza dotarsi di procedure interne accuratamente organizzate e standardizzate che consentano di ridurre il rischio connesso alla perdita della riservatezza dei dati attraverso il monitoraggio continuo di ogni fase del trattamento.
Torna in Cima

Risolviamo insieme il tuo problema, scrivi ora