Il nuovo Regolamento europeo sulla protezione dei dati personali, Gdpr (General Data Protection Regulation) n. 679/2016 è entrato in vigore il 25 maggio.

Tale regolamento fa da corollario a tutta una serie di riforme, su scala europea, che hanno investito la materia sotto forma di direttive e trattati internazionali (per esempio, la direttiva UE 2016/680, la revisione del Reg. UE 2001/45 e della Convenzione internazionale del 28 gennaio 1981, n. 108).

Composto da 99 articoli, ha come scopo quello di superare la normativa prevista dalla l. 196/2003, abrogando le disposizioni incompatibili, e di dare una significativa accelerazione e spinta sul tema della protezione dei dati personali e sul consenso per gli stessi, a livello UE.

Provando a sviscerare in pillole il regolamento, le principali novità della disciplina europea riguardano innanzitutto la maggior attenzione al consenso dei singoli sull’utilizzo dei propri dati personali, il c.d. principio dell’accountability.

Pertanto, una sorta di responsabilizzazione degli interessati del trattamento per la tutela dei propri dati personali, che li renda edotti dei rischi che un determinato utilizzo possa comportare.

Sarà necessario che il titolare del trattamento indichi in modo chiaro con quale modalità questi verranno utilizzati, e per quanto tempo. Chiunque utilizzi tali dati, dovrà spiegare in modo chiaro cosa vorrà farne e per quanto tempo intenderà conservare un copia dei dati.

Tra i c.d. nuovi diritti, sarà più facile accedere ai propri dati, (c.d. diritto di accesso) tramite la ricezione di una copia dei dati personali oggetto di trattamento; sarà inoltre più semplice esser “dimenticato” dal Web, per mezzo del c.d. diritto “all’oblio", che si configura come un diritto alla cancellazione dei propri dati personali, in forma rafforzata rispetto a quello del codice vigente.

Peraltro l’interessato al trattamento dei dati, potrà chiederne la cancellazione anche dopo la revoca del consenso al trattamento.

Ulteriori novità del Regolamento riguardano il furto dei dati da subito dal titolare che tratta tali dati, da comunicare all'interessato entro le 48 ore, assieme alla possibilità di comunicare qualsiasi abuso del quale si venga a conoscenza.

Una mancata verifica tempestiva dell’eventuale abuso stabilisce pene molto severe, fino a 20 milioni di euro di multa o del 4% del totale del fatturato mondiale di ogni singola azienda, ed il perpetrarsi di tale condotta prevede l'azionarsi della tutela dei propri diritti tramite il ricorso al garante della privacy o al giudice ordinario.

Le persone fisiche o giuridiche, le autorità pubbliche, i servizi o altri organismi che trattano o determina il trattamento dei dati perdonali (così come delineati dall'art. 4 del Regolamento) devono dotarsi di un registro, tenuto in forma scritta, in formato elettronico, da esibire su richiesta al Garante, e sul quale devono esser indicati una serie di contenuti obbligatori:

a) il nome e i dati di contatto del titolare del trattamento o contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1;
Viene infine introdotta la discussa figura del “Responsabile della protezione dei dati” (c.d. Data Protection Officer o DPO), che avrà il compito di assicurare una gestione corretta dei dati personali nelle imprese e negli enti.

Tra i soggetti obbligati alla nomina di tale figura, rientrano quelli previsti all'articolo 37 comma 1, lett. a) del Regolamento.

1)      le autorità o organismi pubblici, eccetto quelli giurisdizionali;

2)       coloro che, per natura, finalità o ambito di applicazione dell'attività, effettuano “monitoraggio sistemico e regolare” degli interessati su “larga scala”;

3)      coloro che trattano, sempre su larga scala, particolari categorie di dati, previsti all’art. 9, (sensibili) o dati relativi a condanne penali e reati di cui all'articolo 10;

La figura verrà individuata, secondo quanto indicato dal Regolamento, sulla base dei parametri che determinino le qualità professionali e la conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Tale figura dovrà pertanto esser in grado di fornire un'attività di consulenza al all'azienda, indicando le modalità con cui i dati personali dovranno esser trattati, ed entro quali limiti, ed infine di sorvegliare che tale attività sia svolta correttamente.

Il nodo da sciogliere relativo a questa figura, a cui i titolari dei dati trattati dovranno porre la massima attenzione, riguarda la scelta del DPO.

Appare una scelta preferibile non affidare l’incarico a figure del management o  con potere decisionale legate alle finalità della funzione di trattamento dei dati.

Appare più utile una scelta che ricada tra i dipendenti dell’azienda oppure fra liberi professionisti esterni, in quanto non è prevista alcuna certificazione o competenza particolare per svolgere tale compito, così come chiarito dal Garante della Privacy italiano.

Non a caso molte università, pubbliche o private, insieme ad enti privati di formazione stanno predisponendo degli appositi corsi di formazione, la cui utilità lascia alquanto perplessi tenendo conto dell'assoluta novità di tale figura.

Volendo tracciare un quadro sulla nuova normativa, dal punto di vista della tutela del consumatore, si avranno a disposizione tutta una serie di strumenti volti a proteggere i propri dati, sia sotto forma di attività di vigilanza che di accesso, sotto forma di controllo che di tutela giuridica, a livello nazionale e comunitario.