Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell’Unione europea (UE) e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’UE.
In sintesi: “Il regime di protezione dei dati proposto per l’UE estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che trattano dati di residenti europei a prescindere dal luogo nel quale le trattano e dalla loro sede legale. Permette di armonizzare le diverse normative sulla protezione dei dati in tutta l’UE, facilitando così l’osservanza delle norme da parte delle imprese non europee; tuttavia, questo è stato ottenuto a costo di un regime che prevede una severa disciplina di protezione dei dati, con rigide sanzioni che possono raggiungere il 4% del volume globale di affari.”
A seguito di negoziazioni nel dialogo a tre tra Parlamento Europeo, Commissione europea e Consiglio dei Ministri, si è raggiunto un consenso generale sulla formulazione del GDPR e sulle sanzioni finanziarie per la mancata osservanza.
Figure competenti
Si distinguono diverse figure competenti a cui è consentito trattare i dati personali (art. 4 del ‘Codice della Privacy’) :
- Titolare del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente a cui è consentito determinare le finalità e le modalità del trattamento dei dati personali.
- Responsabile del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro ente preposto dal titolare al trattamento di dati personali. (art. 4 comma g)
- Destinatario del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente che riceve i dati personali dal titolare del trattamento.
- Terzi: sono tutti coloro che non sono identificati come titolari, responsabili o destinatari del trattamento.
- Incaricato: è la persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di gestione dei dati. (art. 4 comma h)
- Interessato: è la persona fisica a cui si riferiscono i dati personali. (art. 4 comma i)
- Rappresentante: è la persona fisica designata come responsabile del trattamento in Europa. Questa figura si manifesta solo nel momento in cui i responsabili del trattamento non appartengano all’Unione Europea.
- Designato: è il soggetto al quale si affidano tutte le funzioni di controllo ad alto livello del trattamento dei dati personali.
- Amministratore di sistema e custode delle chiavi: sono due figure, non più presenti nel nuovo ordinamento, il cui compito è sovrintendere alle risorse del sistema informativo dell’Ente e consentirne l’utilizzazione.
Sicurezza dei dati
La sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. A tal fine il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito, salvo che lo richieda il diritto dell’Unione o degli Stati membri. A garanzia dell’interessato il Regolamento UE 2016/679 regolamenta anche il caso di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale (Articolo 44 e ss) e prevede che l’interessato venga prontamente informato in presenza di una violazione che metta a rischio i suoi diritti e le sue libertà (Articolo 33).
Responsabile per la protezione dei dati (“DPO”, Data Protection Officer)
Qualora l’elaborazione sia effettuata da un’autorità pubblica, fatto salvo per le corti o le autorità giudiziarie indipendenti agenti nella loro competenza giudiziaria, o qualora, nel settore privato, l’elaborazione sia effettuata da un controllore le cui attività principali consistono di operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico dei soggetti dei dati, una persona esperta di legislazione e pratiche relative alla protezione dei dati deve assistere colui che li controlla o li gestisce al fine di verificare l’osservanza interna al regolamento.
Il Responsabile per la Protezione dei Dati (Data Protection Officer, talora indicato anche con l’acronimo italiano RPD, per “responsabile protezione dati”) è una figura che deve possedere una buona padronanza dei processi informatici, della sicurezza dei dati (inclusa la gestione dei cyber-attacchi) e di altre questioni di coerenza aziendale riguardanti il mantenimento e l’elaborazione di dati personali e sensibili. Ricorda molto l’ODV (Organismo Di Vigilanza) della legge n. 231 del 2001 sulla responsabilità penale delle persone giuridiche e il responsabile anticorruzioni per la sua autonomia, indipendenza e assenza di conflitti di interesse.
L’insieme di competenze richieste si estende al di là della comprensione dell’osservanza di leggi e regolamenti sulla protezione dei dati. Il monitoraggio dei Data Protection Officer è onere del regolatore e non del Consiglio di amministrazione dell’organizzazione. La nomina di un Responsabile per la Protezione dei Dati all’interno di una grande organizzazione pone in gioco una moltitudine di questioni legate alla governance e a fattori umani. Inoltre, chi detiene l’incarico dovrà creare un proprio team di supporto e sarà anche responsabile del proprio sviluppo professionale continuativo, dal momento che, come “mini-regolatore” ad ogni effetto, dovrà essere indipendente.
