Lo scorso 28 gennaio 2016 il Parlamento europeo e il Consiglio dell’Unione Europea hanno presentato, di comune accordo, una proposta di regolamento concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati. Si tratta del nuovo regolamento sulla privacy che, a partire dal 2018, andrà a sostituire la direttiva 95/46/CE, tuttora testo di riferimento in materia di dati personali.
Il regolamento è composto da ben 91 articoli, contro i 34 della direttiva; come si evince dal quinto articolo, questo è dovuto alla rapida evoluzione tecnologica degli ultimi anni che ha comportato nuove sfide per la protezione dei dati personali. L’intento, come per la direttive del’95, è sempre quello di realizzare un bilanciamento tra, il diritto alla protezione dei dati di carattere personale e gli altri diritti fondamentali dell’Unione.
Alla luce di quanto detto analizziamo le principali novità del regolamento: innanzitutto per le imprese vi è l’obbligo di nominare all’interno dell’azienda un Data Protection Officer, ossia un professionista in materia di privacy, il quale sarà responsabile del trattamento dei dati personali per l’azienda. In questo modo l’autorità di controllo, ossia in Italia il Garante privacy, avrà uno specifico interlocutore competente in materia con cui relazionarsi all’interno della società.
In secondo luogo non ci sarà, più per il responsabile del trattamento dei dati, l’obbligo di richiedere l’autorizzazione preventiva al Garante per poter effettuare lo stesso bensì il Privacy Impact Assesment, ossia una valutazione complessiva dell’impatto privacy all’interno dell’azienda e, solamente se da quest’ultima dovesse emergere un rischio elevato per i diritti e le libertà delle persone fisiche, allora si dovrà avvertire l’autorità di controllo per le vere e proprie violazioni.
Il tutto comporta per il responsabile un ruolo più autonomo, con minori oneri amministrativi e finanziari per la società e per il Garante, un ruolo meno invasivo da osservatore esterno, senza dimenticare però l’aumento delle sanzioni amministrative fino ad un massimo del 4% del fatturato annuo dell’azienda come contraltare a questa maggiore autonomia.
Da notare infine il “diritto all’oblio”, ovvero il diritto dell’interessato ad ottenere la cancellazione dei propri dati qualora essi non siano più necessari per le finalità per cui erano stati raccolti e l’applicazione del diritto UE anche ai trattamenti svolti al di fuori del territorio comunitario. Il nuovo regolamento delinea un più alto livello di protezione dei dati personali rispetto al recente passato, in linea con la sentenza della Corte di Giustizia UE sul Safe Harbour dello scorso ottobre.