06-07-2016
Gli Stati membri, sebbene il Regolamento, in quanto tale, non abbia bisogno di recepimento, hanno due anni per adeguare le proprie normative interne e di conseguenza, le aziende, per applicare il nuovo dettato normativo.
Ciò, anche in considerazione del fatto che il Regolamento attribuisce alla Commissione europea il potere di adottare atti delegati e di esecuzione, al fine di rendere operativa la disciplina, ma lascia ai legislatori nazionali la facoltà di introdurre, a seconda delle circostanze, norme nazionali ad hoc. Le novità introdotte con il Regolamento riguarderanno, tutte le aziende (i c.d. "titolari" del trattamento dei dati personali) che avendo uno stabilimento all'interno dell'UE, trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell'UE stessa.
“Tra le principali novità” ci sottolinea Daniele Dondarini – Responsabile Servizi alla Comunità dell’Emilia Romagna “merita sicuramente attenzione una nuova figura che va ad affiancarsi alla nomenclatura già conosciuta nel nostro Codice Privacy, ovvero al "titolare", al "responsabile" e all' "incaricato" del trattamento dei dati, e cioè quella del Data Protection Officer ("DPO"), il "responsabile della protezione dei dati".”
“Il DPO dovrà essere obbligatoriamente presente all'interno di tutte le aziende pubbliche nonché in tutte quelle ove i trattamenti abbiano carattere continuativo, come ad esempio nelle aziende che trattano i c.d. "dati sensibili", come le strutture sanitarie ed i fornitori/produttori di dispositivi medici dietro prescrizione medica.” aggiunge Laura Grilli – Presidente di CNA Unione benessere e Sanità dell’Emilia Romagna.
Il DPO potrà essere un dipendente della società titolare del trattamento o, in alternativa, assolvere i propri compiti in base ad un contratto di servizio. Ad ogni modo, ogni azienda dovrà rendere noti i dati del proprio DPO nonché comunicarli al "Garante per la protezione dei dati personali".
Altra novità di rilievo, è l'introduzione dell'obbligo, per ogni azienda titolare del trattamento dei dati, di tenere un "registro delle attività di trattamento", svolte sotto la propria responsabilità, nonché quello di effettuare una "valutazione di impatto sulla protezione dei dati".
Sarà, in ogni modo, il Garante Privacy (per quanto riguarda l'Italia), a redigere e rendere pubblico l'elenco delle tipologie di trattamenti soggetti al requisito della "valutazione di impatto sulla protezione dei dati".
Il comma 5 dell'art. 30 del Regolamento esonera dagli adempimenti appena accennati le piccole e medie imprese, quelle dunque con meno di 250 dipendenti, a meno che, però, "…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (sensibili)…o i dati personali relativi a condanne penali…" ricorda Livio Carbognani - presidente dell’Unione Servizi alla Comunità dell’Emilia Romagna; “vedremo, comunque, nei suoi risvolti applicativi” conclude Carbognani “come sarà interpretato ed applicato tale articolo”.
Sarà, inoltre, obbligatorio, per i soggetti deputati al trattamento dei dati, seguire corsi relativi alle misure di protezione, dato che dovranno dimostrare la loro conoscenza specifica delle disposizioni di protezione impartite e le imprese dovranno dimostrare la liceità dei trattamenti di dati effettuati (obbligo di responsabilizzazione). Infine, per quanto concerne il "sistema sanzionatorio", il Regolamento ha aumentato l'ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.
