Anche se è entrato in vigore il 25 maggio il nuovo regolamento europeo sulla privacy, la normativa italiana procede con lentezza negli adeguamenti necessari, in parte anche a causa della situazione del Governo e del Parlamento che non ha ancora insediato le Commissioni.
Non ci sono solo sanzioni amministrative nel Regolamento UE sulla privacy.
Le reazioni possibili dell’ordinamento alle violazioni sui dati sono diverse e dovranno seguire un approccio gradualistico. A sottolinearlo è Antonello Soro, presidente dell’Autorità garante italiana, che, rispondendo a ItaliaOggi Sette a pochi giorni dal debutto del “Gdpr” (il regolamento 2016/679 sulla protezione di dati), detta le priorità per aziende ed enti alle prese con le nuove sfide poste dalla normativa europea. In cima all’agenda, la formazione del personale e la sicurezza informatica.
Sulla G.U. n. 11972018 è stato pubblicato il D.lgs 18 maggio 2018, n. 51 recante l’attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.
Si tratta di un testo unitario, dedicato alla complessiva disciplina del trattamento di dati personali in ambito penale, con l’obiettivo di creare un vero e proprio statuto, contenente principi generali di regolamentazione della materia e disposizioni di dettaglio nei vari settori in cui si può articolare il trattamento dei dati personali. La nuova normativa supera e sostituisce in gran parte quella attualmente contemplata nei titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, dedicate a specifici settori, in particolare quello giudiziario e quello dei trattamenti da parte delle forze di polizia.
In particolare, il testo prescrive che i dati siano conservati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione e cancellati o resi anonimi una volta decorso tale termine e introduce una nuova disciplina riguardo alla differenziazione tra categorie di dati (fondati su fatti ovvero su valutazioni) e di interessati, in ragione della loro specifica posizione processuale.
Ogni utente avrà il diritto di ricevere informazioni chiare sull’uso che viene fatto dei suoi dati personali, potrà trasferirli da un titolare del trattamento ad un altro, compresi i social network (“diritto alla portabilità dei dati”), e vedrà rafforzato il suo diritto di far cancellare, anche on line, le informazioni non più necessarie rispetto alle finalità per le quali sono state raccolte (“diritto all’oblio”).
La nuova disciplina introduce anche altre importanti misure. Imprese ed enti dovranno rispettare i principi della “privacy by design” e della “privacy by default”: dovranno inserire cioè garanzie a favore degli utenti in dalla progettazione di ogni trattamento e di ogni prodotto o servizio che comporti il trattamento di dati personali. Il consenso all’uso dei dati dovrà essere ancora più specifico per ogni servizio reso. Chi tratta dati avrà l’obbligo di informare le Autorità garanti, e nei casi più gravi gli stessi interessati, in caso si verifichino furti, diffusione illecita o perdite di dati (“data breach”).
Altra importante innovazione è la figura del Responsabile della protezione dei dati (RPD) che dovrà operare all’interno di tutte le amministrazioni pubbliche e di quelle imprese che fanno particolari trattamenti di dati o usano particolari categorie di dati, offrendo consulenza e supporto al proprio titolare o responsabile del trattamento.
REGOLAMENTO UE COME PUBBLICATO SULLA GAZZETTA EUROPEA
GUIDA ALL’APPLICAZIONE DEL REGOLAMENTO EUROPEO
TUTTO SUGLI ENTI LOCALI 