GE. DA. sas di Giancarlo Chillè & C.
Gestione Elaborazione Dati Aziendali
1. Principi generali del Regolamento UR 2016/679 e le novità introdotte dal d. lgs. n. 101/2018
Il Regolamento europeo per la protezione dei dati personali 2016/679 (Regolamento o GDPR), obbligatorio in tutti i Paesi membri dell’Unione Europea a partire dal 25 maggio 2018, raccoglie l’esperienza maturata in Europa negli ultimi venti anni, proponendosi di armonizzare la disciplina della privacy a livello comunitario, nell’ottica di individuare un0unica norma uniforme quale minimo comune denominatore fra i 28 Stati membri.
L’Italia, con il decreto legislativo di armonizzazione del 10 agosto 2018, n. 101, pubblicato in Gazzetta Ufficiale il 4 settembre 2018, ha emendato il d. Lgs. n. 196/2003 (Codice privacy), completando il quadro normativo.
Il legislatore comunitario ha inteso considerare il diritto alla protezione dei dati personali oggetto di bilanciamento di interessi, anche e soprattutto alla luce della sua funzione sociale.
Il trattamento dei dati personali dovrà essere contemperato con i diritti fondamentali, in ottemperanza al principio di proporzionalità, ma anche con le norma poste a tutela dei diritti prevalenti, tra cui l’interesse pubblico alla trasparenza e all’efficacia della Pubblica Amministrazione, e con le norme civilistiche in tema di negozi giuridici.
Si tratta di un cambiamento epocale in materia di protezione dei dati personali, in quanto il Regolamento mira a raggiungere la tutela del diritto dell’interessato al controllo sui propri dati personali, affidando al titolare le scelte per garantire il suo diritto.
Le principali novità introdotte dal regolamento sono rappresentate da:
1) principio di accountability o responsabilizzazione/rendicontrazione;
2) introduzione dei principi di privacy by design e privacy by default;
3) previsione della figura del Data Protection Officer (non del tutto sconosciuta nel nostro ordinamento, ma sicuramente la figura protagonista del GDPR;
4) registro dei trattamenti;
5) procedura di data breach;
6) valutazione di impatto (DPA)
7) rilascio del consenso e la possibilità per i minori di prestare il proprio consenso per i servizi della società dell'informazione (quali ad esempio Facebook, Instagram, ecc.);
8) contenuto dell’informativa;
9) nuovi diritti dell'interessato (portabili, diritto all’oblio, diritto all’accesso, ecc.).
Il decreto legislativo n. 181/2018 è intervenuto al fine di coordinare il codice privacy a tali novità, mettendo a punto quelle precisazioni che lo stesso Regolamento demandava alla scelta discrezionale dei singoli paesi membri.
Tra le ulteriori novità si segnalano:
1) la previsione per cui, per i primi otto mesi dall'entrata in vigore del regolamento (maggio 2019) , nell'erogare sanzioni, il garante per la protezione dei dati personali tiene conto del fatto di essere ancora in una fase iniziale di attuazione della normativa;
2) il consenso dei minori italiani sin dall'età di 14 anni per il trattamento dei dati personali nella fruizione dei servizi della società dell'informazione (il GDPR ha lasciato margine ai singoli Stati membri per stabilire l'età per il rilascio del consenso da parte del minore, in un range dai 13 ai 16 anni; in Francia, ad esempio, il progetto di legge individua come età idonea per il rilascio del consenso i 15 anni);
3) la possibilità, per il titolare e per il responsabile, di nominare persone fisiche espressamente designate per svolgere specifici compiti e funzioni in relazione al trattamento dei dati personali;
4) la previsione per cui, nei casi di ricezione dei curricula spontaneamente trasmessi dai candidati, al fine dell'installazione di un rapporto di lavoro, l'informativa deve essere fornita al momento del primo contatto utile, successiva all'invio del curriculum peraltro, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto;
5) la limitazione dei diritti degli interessati, ad integrazione dei casi già presenti nel Regolamento (art. 23);
6) la gestione dei diritti riguardanti le persone decedute, che possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandato, o per ragioni familiari meritevoli di protezione.
I destinatari delle novità apportate dal Regolamento e dal decreto di armonizzazione sono:
- le aziende;
- le Pubbliche Amministrazioni;
- gli studi professionali.
Il concetto di protezione del dato (inteso non solo nella sua rappresentazione digitale) in tutto il suo ciclo vitale, deve rappresentare una priorità nelle strategie di gestione del rischio anche degli studi professionali, stante la delicatezza dei dati trattati.
Basta pensare, ad esempio, ai dati relativi alla salute trattati dagli studi medici, ai dati giudiziari trattati dagli avvocati, ai dati relativi all’appartenenza sindacale degli interessati trattati dai consulenti del lavoro.
Il Regolamento prevede che anche gli studi professionali, in qualità di titolari o responsabili, devono adottare misure organizzative e tecniche idonee a garantire un livello di sicurezza adeguato al rischio sia informatico che legale, legato al trattamento del dato: dunque non si può prescindere da una puntuale analisi del rischio di ogni trattamento.
Anche gli studi professionali devono adeguarsi al Regolamento, che non dovrà essere visto solo come un obbligo, ma come un’opportunità per migliorare l’efficienza della propria organizzazione.
© Copyright 2020 - Ge. Da. sas di Giancarlo Chillè & C. - Codice fiscale e Partita IVA: 02505410924
Sede legale e amministrativa: Via Sidney Costantino Sonnino, 3 - 09125 - Cagliari (CA)
E-mail: info@gedasas.net - PEC: gedasascagliari@pec.it
Iscritta al Registro delle Imprese di Cagliari dal 20 maggio 1999 al n. REA 204106
Dal 1999 elaborazione dati per le imprese
Informazioni legali | Privacy Policy e Cookie Policy
Sito web by Chronos srl