Il noto Regolamento UE 2016/679 entrato in vigore il 24 maggio 2016, che regola la protezione delle persone fisiche mediante il trattamento dei dati personali e la libera circolazione degli stessi, sarà applicabile in via definitiva in tutti i paesi europei con decorrenza 25 maggio 2018. Entro tale data bisogna aver assolto ai nuovi obblighi.
Il cambiamento rispetto all’attuale Codice Privacy, colpisce in primo luogo i soggetti coinvolti nella disciplina: scompare la figura dell’incaricato, quel soggetto ausiliare del responsabile, e al suo posto subentra la figura del Responsabile per la protezione dei dati o DPO (Data Protection Officer) consigliere dei titolari. Nessuna variazione per quanto concerne l’organo preposto al controllo che resta dunque il Garante della Privacy.
Il nuovo Regolamento impone l’obbligo per il titolare del trattamento, quindi per il datore di lavoro, di adottare le misure necessarie affinché le norme siano rispettate e di dimostrare l’adempimento.
Ad oggi gli obblighi previsti sono quelli di informare l’interessato, raccogliere il consenso se previsto e avere l’autorizzazione per trattare i dati sensibili, notificare al Garante particolari tipi di trattamenti e adottare misure minime di sicurezza.
A queste il Regolamento aggiunge regole specifiche per incarichi e deleghe, nomina del Responsabile per la protezione dei dati, istituzione ove richiesto del Registro dei trattamenti, organizzazione interna e sistemi tarati a priori per l’adempimento degli obblighi.
Per quanto concerne gli interessati, oltre ai noti diritti di cancellazione, trasparenza, possibilità di ricorso, informazione e informativa, si sommano anche il diritto all’oblio, il diritto di ricevere i propri dati immediatamente e in firma intellegibile, ricorsi su trattamenti di ogni tipo che abbiano una relazione con la UE.
Anche il consenso subirà delle variazioni: dev’essere esplicito per i dati “sensibili” e riguarderà anche le decisioni basate su trattamenti automatizzati.
Non sono richieste né la forma scritta né la documentazione per iscritto seppur entrambi i metodi sono idonei a configurare il carattere esplicito del consenso. Il titolare inoltre, deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
I minori esprimono un consenso valido a partire dai 16 anni, al di sotto di tale età occorre quello dei genitori o di chi ne fa le veci.
Importante ricordare che il consenso resta, anche alla luce del nuovo Regolamento, libero e non è ammesso consenso tacito o presunto come ad esempio caselle già spuntate su un modulo. Dev’essere infatti manifestato attraverso una “dichiarazione o azione positiva inequivocabile”.
Le sanzioni amministrative, in base alla norma violata, vanno da 1.000 a 120mila euro. Se è stato commesso reato, sono previste sanzioni penali che vanno da sei mesi a tre anni.
Le sanzioni amministrative hanno un valore massimo che arriva al maggiore importo tra 20milioni di euro e il 4% del fatturato annuo di gruppo. I singoli Stati possono prevedere sanzioni penali.