In seguito all'approvazione definitiva da parte del Consiglio dei Ministri del 9 agosto u.s., è stato pubblicato sulla Gazzetta Ufficiale il Decreto Legislativo 10 agosto 2018, n. 101 sulle disposizioni per l'adeguamento della normativa nazionale al Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Il provvedimento entrerà in vigore il prossimo 19 settembre.
Il regolamento generale sulla protezione dei dati (General Data Protection Regulation - GDPR) affronta, tra gli altri, il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'Unione europea) che trattano dati di residenti nell'Unione europea a osservare e adempiere agli obblighi previsti. Il GDPR mira a restituire ai cittadini il controllo dei propri dati personali e a semplificare il contesto normativo rendendo omogenea le disposizioni sulla privacy all'interno dell'UE. Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della Direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, ha abrogato le norme del Codice per la protezione dei dati personali (D.Lgs. n.196/2003) con esso incompatibili.
Con l’occasione si richiamano alcune disposizioni contenute nel GDPR:
• vengono ampliate e caratterizzate le definizioni dei dati presenti nella corrente Direttiva. Oltre al dato personale, vengono definiti i dati genetici, quelli biometrici e quelli relativi alla salute, che consentono l'identificazione univoca o l'autenticazione di una persona fisica;
• ciascuno stato membro UE dovrà istituire un'autorità indipendente per dare udienza ai reclami, effettuare indagini, sanzionare le infrazioni amministrative riguardanti la privacy. Le autorità sovrintendenti in ciascuno stato membro dovranno collaborare tra loro, assistendosi reciprocamente e organizzando operazioni congiunte. Qualora una ditta abbia più stabilimenti nell'UE, avrà un'unica autorità sovrintendente sulla base dell'ubicazione del proprio "stabilimento principale" (ossia il posto dove hanno luogo le principali attività di gestione);
• il principio di responsabilità legato al trattamento dei dati personali resta ancorato (come nel Codice per la protezione dei dati personali) ad un concetto di responsabilità per esercizio di attività pericolosa, con una valutazione ex ante in concreto ed una sostanziale inversione dell'onere della prova. Per non rispondere del danno commesso derivante dal trattamento dei dati personali occorre sostanzialmente provare di aver fatto tutto il possibile per evitarlo;
• i requisiti per le informative agli interessati rimangono e in parte sono ampliati. Essi devono includere il tempo di mantenimento dei dati personali e occorre fornire i contatti di chi controlla i dati e del funzionario preposto alla protezione dei dati;
• un valido consenso deve essere esplicitamente fornito per la raccolta dei dati e per i propositi per i quali sono usati. Pertanto se la richiesta viene inserita nell'ambito di altre dichiarazioni essa va distinta e formulata con linguaggio semplice e chiaro. Condizione di validità del consenso al rilascio di dati personali è che le finalità per cui viene richiesto siano esplicite, legittime, adeguate e pertinenti. La sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.
