Il nuovo regolamento europeo sulla privacy (GDPR): cosa cambia in materia di tutela dei dati personali

 Il nuovo regolamento europeo sulla privacy (GDPR): cosa cambia in materia di tutela dei dati personali

Dall’approvazione e pubblicazione del nuovo regolamento privacy è già trascorso più di un anno e molteplici sono le iniziative che si stanno svolgendo per affrontare sotto diversi angoli prospettici la rivoluzione normativa introdotta dalla nuova legge in materia di tutela dei dati personali. In questo senso si presentano particolarmente rilevanti le attività che lo stesso Garante per la Protezione dei dati personali sta ponendo in essere: si segnalano in particolare la pubblicazione della prima Guida applicativa al Regolamento, da un parte, e (proprio in questi giorni) l’attivazione del percorso dedicato alle PA per aggiornarle ed adeguarle sulla nuova normativa.

Gli argomenti da trattare, in relazione alle varie aree che risentiranno dell’applicazione della nuova legge sulla privacy, sono moltissime. Di particolare interesse è il tema affrontato nel convegno che si terrà a Latina “Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie” che, tra l’altro vedrà anche la partecipazione del Colonnello della Guardia di Finanza Marco Menegazzo, Comandante del Nucleo Speciale Privacy (oltre che del Prof. Claudio Cilli del Dip. Informatica Università Sapienza di Roma, dell’Avv. Fabio Di Resta, Presidente di EPCE,  degli Avv.ti Gianluca Savino e del sottoscritto Emiliano Vitelli, consiglieri EPCE e collaboratore de www.ilgiornaledellepmi.it)

Sarà l’occasione non soltanto per comprendere quale scelte e quali prospettive il nucleo privacy della Guardia di Finanza intende mettere sul campo per assicurare la corretta applicazione dei precetti dettati dal Regolamento, ma anche quella di confrontare l’attuale Codice Privacy con le nuove regole e comprendere in concreto quali siano i cambiamenti più significativi che ha introdotto la norma.

Sicuramente un tema particolarmente sentito è quello collegato alle sanzioni ed alla relativa responsabilità in relazione soprattutto ai casi di c.d. data breach cioè di violazione dei dati.

Questo è un tema che  coinvolgerà pubblico e privato e che, si deve sottolineare, non concerne soltanto l’aspetto informatico, ma tutti i settori che in un modo o nell’altro trattano dati personali (anche contenuti nei documenti cartacei). Va infatti ricordato che lo stesso Regolamento definisce la violazione del dato personale  “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Quindi un evento che può anche non essere doloso, ma anche soltanto accidentale. Elemento questo che sottolinea ancora una volta come sia fondamentale per le imprese e le PPAA affrontare queste problematiche sulla base di una corretta analisi dei rischi.

Lo stesso Regolamento, poi, fornisce esplicitamente tutta una serie di indicazioni che dovranno essere prese in considerazione ai fini della valutazione dell’impatto che può avere una violazione in relazione agli eventuali danni che possono essere causati e per i quali, ovviamente fornendone adeguata prova, potrà essere possibile chiedere un risarcimento. I Considerando 75 ed 85 chiaramente sottolineano infatti che una violazione dei dati se non affrontata in modo adeguato e tempestivo, può provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.

Proprio per tale ragione sarà prioritario che i titolari ed i responsabili del trattamento  pongano in essere procedure e controlli al fine della corretta individuazione del rischio connesso al trattamento medesimo, la sua valutazione in termini di origine, natura, probabilità e gravità, ciò anche grazie all’individuazione (sulla scorta delle indicazioni pure fornite dal Garante) delle migliori prassi per attenuare il rischio.

La responsabilizzazione del titolare e del responsabile del trattamento è uno dei fulcri centrali della nuova normativa con immediate ricadute in termini di responsabilità e danno.

Avv. Emiliano Vitelli

Emiliano Vitelli

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.