La privacy ed il Reg. UE in materia di protezione dei dati personali

La tutela dei dati personali (identificativi, sensibili, giudiziari, biometrici, genetici) trova attualmente regolamentazione nel D.Lgs. 196/2003, che ha introdotto il “Codice in materia dei dati personali” (o Codice Privacy), nonché nel nuovo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679) pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016 e che si applicherà a decorrere dal 25 maggio 2018, data entro la quale dovrà essere garantito il perfetto allineamento fra le normative nazionali in materia di protezione dei dati e le disposizioni contenute nella nuova normativa europea.

Tale evoluzione normativa in materia di tutela dei dati, oltre a fornire un quadro legislativo uniforme per tutti i Paesi dell’Unione Europea, fa fronte alle nuove esigenze di tutela dei dati connesse con l’evoluzione tecnologica, dove l’uso dei dati personali si svolge in modo tendenzialmente indiscriminato e talvolta inconsapevole. Non a caso, infatti, la finalità che tanto il D.lgs. 196/2003 quanto il Regolamento UE 2016/679 si propongono è quella di garantire i diritti e le libertà fondamentali delle persone fisiche, ed in particolare il diritto alla protezione dei dati personali.

Destinatari delle previsioni contenute nel D.lgs. 196/2003 e nel Regolamento UE 2016/679 sono tutti quei soggetti che “trattano” (in maniera automatizzata o meno) dati personali di soggetti residenti nell’Unione Europea. Pertanto, tutte le aziende, le pubbliche amministrazioni (comuni, ospedali, scuole, ecc.), gli enti e le associazioni, le cooperative, le imprese individuali, i liberi professionisti che trattano dati personali di clienti, dipendenti, fornitori, cittadini, utenti, pazienti, colleghi, soci, associati, ecc.

Le imprese e le istituzioni pubbliche sono, pertanto, tenute ad adottare ed attuare politiche interne e misure di sicurezza adeguate per garantire che il trattamento dei dati personali effettuato sia conforme – sin dalla fase preliminare di acquisizione del dato – a tutte le disposizioni del Regolamento e del Decreto legislativo.

E’ previsto, inoltre, l’obbligo di effettuare, sin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto, delle valutazioni di impatto nei casi in cui il trattamento dei dati, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati ed in particolare quando riguardi: la geolocalizzazione, lo stato di salute, la vita sessuale, l’origine etnica; o ancora, per trattamenti di dati in archivi su larga scala riguardanti minori, dati genetici o dati biometrici.

È dunque necessario elaborare un sistema documentale di gestione della privacy contenente tutte le azioni e le misure adottate per soddisfare i requisiti di conformità al Regolamento.

In tal senso, di fondamentale importanza è l’obbligo di resa dell’informativa privacy e della acquisizione dei consensi al trattamento che – essendo esclusa ogni forma di consenso tacito – dovrà essere scritto, preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici (ad esempio, selezionando un’apposita casella in un sito web).

Infine, il Regolamento UE ha introdotto la figura del Responsabile della protezione dei dati (Data Protection Officer DPO), incaricato di assicurare una gestione corretta dei dati personali e l’osservanza interna del Regolamento qualora il trattamento sia effettuato da un’autorità pubblica, o qualora, nel settore privato, il trattamento comporti un monitoraggio regolare e sistematico dei soggetti dei dati.

Di importanza non secondaria, è l’impianto sanzionatorio. Il Regolamento prevede, infatti, che l’Autorità di Controllo possa arrivare ad irrogare sanzioni amministrative pecuniarie fino a 2 milioni di Euro o fino al 4% del volume d’affari globale registrato nell’anno precedente (se superiore).