Nel maggio del 2016, con un Regolamento si concepisce un nuovo quadro normativo, obbligatorio da maggio 2018, che cambia le prospettive della disciplina di riferimento.
Il nuovo testo si incentra su doveri e responsabilità del titolare del trattamento dei dati, e definisce: i processi, le attività, le misure tecniche e organizzative, le sanzioni e gli obblighi.
Mentre la precedente indicazione era incentrata sui diritti dell’interessato, il nuovo testo si incentra su doveri e responsabilità del titolare del trattamento dei dati, e definisce processi, attività, misure tecniche e organizzative, sanzioni e obblighi al fine di tutelare gli utenti verso un uso improprio dei loro dati personali, quindi, si introducono nuovi capisaldi su cui basare l’attività di protezione delle informazioni raccolte, a tutela dell’utente cui quei dati si riferiscono.
In sostanza, cambia completamente il campo su cui si gioca la partita della tutela della Privacy sui dati personali.
Questi capisaldi sono: il forte ruolo della responsabilizzazione (che si riflette poi anche nelle sanzioni previste) e la gestione del rischio connessa al trattamento dei dati personali (da dove può provenire, che tipo di rischio si affronta, che probabilità e quale gravità dimostrerebbe).
Per garantire la compliance al nuovo Regolamento Europeo, meglio noto come General Data Protection Regulation o GDPR, le aziende dovranno avere la capacità di definire, gestire, documentare e attuare alcuni processi che si snodano in modo trasversale nell’intera organizzazione.
Il gruppo dei garanti Ue (Wp 29) ha approvato tre documenti con indicazioni e raccomandazioni su importanti novità del Regolamento 2016/679 sulla protezione dei dati, in vista della sua applicazione da parte degli Stati membri a partire dal maggio 2018.
I tre cambiamenti riguardano: il “responsabile per la protezione dei dati” (Data Protection Officer – Dpo), il diritto alla portabilità dei dati, l’”autorità capofila” che fungerà da “sportello unico” per i trattamenti transnazionali. Ne ha dato notizia oggi il garante della privacy.
Le linee guida sul Dpo specificano i requisiti soggettivi e oggettivi di questa figura, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati sulla base di criteri che il gruppo ha chiarito nel documento. Nel documento vengono illustrate (anche attraverso esempi concreti) le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il Dpo deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.
Per quanto riguarda il diritto alla portabilità, il gruppo evidenzia il suo valore di strumento per l’effettiva libertà di scelta dell’utente, che potrà decidere di trasferire altrove i dati personali forniti direttamente al titolare del trattamento (piattaforma di social network, fornitore di posta elettronica etc.) oppure generati dall’utente stesso navigando o muovendosi sui siti o le piattaforme messe a sua disposizione. Il documento esamina anche gli aspetti tecnici legati soprattutto ai requisiti di interoperabilità fra i sistemi informatici e alla necessità di sviluppare applicazioni che facilitino l’esercizio del diritto.
Infine, i garanti Ue hanno chiarito i criteri per la individuazione della “Autorità capofila” che deve fungere da “sportello unico” per i trattamenti transnazionali (se il titolare o il responsabile tratta dati personali in più stabilimenti nell’Ue o offre prodotti o servizi in più Paesi Ue anche a partire da un solo stabilimento). Si tratta di un elemento importante del nuovo quadro normativo, e le linee guida vogliono aiutare i titolari o responsabili del trattamento a individuare correttamente l’Autorità competente in questi casi così da evitare controversie e garantire un’attuazione efficace del Regolamento.