Quaderno del 29 marzo 2018
DOSSIER
Regolamento UE Privacy: novità e adempimenti in vista della scadenza del 25 maggio
Introduzione
di Teresa Cianni
Settore Fse - Tecnostruttura
Il prossimo 25 maggio diventerà definitivamente applicabile in via diretta in tutti i Paesi UE il nuovo Regolamento europeo in materia di protezione dei dati personali (Reg. (UE) 2016/679).
Il Regolamento (in inglese GDPR) è stato pubblicato sulla Gazzetta ufficiale della UE (GUUE) il 4 maggio 2016, prevedendo un lasso temporale di due anni per il perfetto allineamento, da parte degli Stati membri, fra la normativa nazionale e le sue disposizioni. Unitamente alla Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini, costituisce il nuovo “Pacchetto protezione dati”, l’insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri della UE. L’obiettivo è quello di assicurare un’applicazione coerente ed omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche, con riguardo alla tutela dei dati personali, in tutta l’Unione, in modo da facilitare la libera circolazione dei dati personali nel mercato interno, segnando così il passaggio da un diritto alla protezione dei dati di tipo nazionale/individuale ad un diritto di tipo europeo/sociale.
Cionondimeno lo stesso Regolamento prevede uno spazio di manovra degli Stati membri per precisarne le norme, anche con riguardo a particolari categorie di dati (dati sensibili). In tal senso non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggior precisione i vincoli in base ai quali il trattamento di dati personali è lecito (cfr. Considerando 10). In proposito si rileva come a livello di ordinamento interno, lo scorso 6 novembre, sia stata pubblicata nella Gazzetta ufficiale della Repubblica Italiana una Legge delega al governo (L. 163/2017 art. 13) per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679. Tale allineamento dovrà avvenire entro sei mesi dalla data di entrata in vigore della legge delega, quindi entro il 21 maggio 2018.
Nel confermare che il trattamento dei dati deve basarsi sul consenso dell’interessato e avvenire in conformità ai principi di liceità, correttezza, trasparenza e proporzionalità, il Regolamento introduce una serie di innovazioni dirette a rafforzare i diritti fondamentali degli individui (diritto di accesso, di rettifica, diritto alla cancellazione/oblio, diritto di limitare il trattamento, diritto alla portabilità dei dati e di opposizione al trattamento). Accresce, inoltre, le responsabilità del titolare e del responsabile del trattamento con la positivizzazione del principio di accountability, che sostituisce il principio autorizzativo attualmente vigente, con la finalità di porre chi tratta i dati personali in una posizione di ridurre i rischi di operazioni non conformi o non consentite motivando, in tal senso, il titolare e il responsabile a comportamenti e prassi virtuose.
Nelle more della modifica della legislazione nazionale, nei paragrafi che seguono si propone una disamina dei principali fattori di novità introdotti dal Regolamento UE rispetto alla disciplina attualmente vigente (D.lgs. 196/2003), mettendo in evidenza gli aspetti di maggior rilievo per le Regioni e rinviando per gli opportuni approfondimenti all’analisi della normativa e alle Linee guida elaborate dal Garante per la privacy (1).
A corredo si forniscono alcune prime indicazioni alle amministrazioni sia in qualità di titolari sia nel ruolo di responsabili del trattamento in merito agli adempimenti da porre in essere per adeguarsi al rinnovato quadro legislativo. Nello specifico si distinguono i nuovi adempimenti, mettendoli in relazione ai soggetti del trattamento (titolare e responsabile), da quelli che discendono da modifiche a disposizioni già presenti nella disciplina nazionale. Considerata la particolare attenzione che in ambito FSE è da molto tempo prestata al tema della tutela dei dati, si riportano inoltre alcune indicazioni di massima per le AdG in merito ai risvolti per i trattamenti effettuati in tale settore e alle possibili iniziative da mettere in campo.
(1): Cfr. Guida all’applicazione del Regolamento UE 2016/679.