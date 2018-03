editato in: da

Il 25 maggio diventerà effettivo in tutti i Paesi membri dell’Unione Europea il GDPR, General Data Protection Regulation, ovvero il regolamento deciso dall’UE per controllare il flusso di dati privati e il loro trattamento.

Il Regolamento numero 2016/679 cambia molti aspetti allo stato attuale della privacy, in Italia, ma anche negli altri Paesi aderenti. Il GDPR in parte riduce gli adempimenti formali a carico del Titolare del trattamento, come ad esempio la notifica preventiva dei trattamenti all’autorità di controllo e la verifica preliminare (previsti dal Codice della Privacy, il d.lgs. 196/2003).

L’obiettivo del Regolamento, non è però solo quello di semplificare, ma soprattutto quello di responsabilizzare i singoli Titolari sul trattamento dei dati e sulla privacy.

Accanto alla riduzione degli adempimenti, il regolamento infatti introduce il principio di responsabilizzazione.

Il Titolare è una persona fisica, giuridica o di pubblica amministrazione, che determina come vengono trattati i dati personali e con quale obiettivo vengono raccolti; deve quindi organizzare la propria azienda, adottando una serie di comportamenti che dimostrino l’utilizzo di misure adeguate alla natura dei dati, e ai rischi che gli stessi corrono in base a ciò che viene disposto dal Regolamento.

L’articolo 24 del Regolamento stabilisce infatti che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

Quindi l’Autorità di controllo interverrà successivamente, soltanto dopo che il titolare avrà preso decisioni e messo in atto misure che lui stesso ritiene adeguate per essere compliance al regolamento. Qui il Garante si esprimerà sull’adeguatezza delle scelte realizzate.

È importante redigere documenti in forma scritta per dimostrare la propria compliance al Regolamento nel modo più adeguato. Se ad esempio il consenso della persona che rilascia i dati viene data in forma orale, il titolare e responsabile deve applicare le giuste soluzioni per poter fornire prova scritta del consenso rilasciato.

Durante le verifiche, il titolare e responsabile del trattamento deve collaborare con il Garante della privacy (in Italia è l’Autorità competente della privacy) in modo da poter garantire lo svolgimento dei controlli.

È importante quindi che il Titolare interpreti correttamente le norme applicabili e individui gli adempimenti imposti dal Regolamento; infatti, non solo deve conoscere la propria azienda da un punto di vista fiscale o amministrativo, ma il Regolamento vuole portare ad analizzare e ad adeguare l’azienda anche sotto l’aspetto della sicurezza del flusso di dati personali.

Se entro il 25 maggio non verrà aggiornata la modulistica in base alla nuova normativa, si può andare incontro a sanzioni previste dal Regolamento anche molto elevate (fino a 10 milioni di euro o fino a 20 milioni di euro a seconda della gravità della violazione).

Per poter comprendere le misure più adeguate a proteggere i dati, il titolare deve valutare quali sono i possibili rischi che si potrebbero verificare, come la distruzione dei dati, la loro perdita, la loro rivelazione e l’accesso non autorizzato che potrebbe dare luogo a possibili danni a carico dei soggetti interessati; le misure adottate devono minimizzare i rischi individuati.

Può emergere che il rischio per la protezione dei dati sia troppo elevato e che non possa essere controllato attraverso misure preventive. In questo caso, il titolare non potrà attuare quel trattamento: potrà soltanto consultare il Garante per valutare la possibilità di trovare una soluzione sufficientemente sicura per il trattamento di quei dati.