Fortemente voluto dall’Unione europea, sono numerose le novità della nuova normativa che disciplina la tutela dei dati di persone e imprese. Nuova anche la "filosofia" che ora sottende alle esigenze di tutela dei dati, che parte oggi dalla considerazione del motivo per i quali i dati sono stati raccolti e vengono trattati. Non sarà più possibile, quindi, limitare nel tempo le procedure di tutela ma rispettare rigorosamente regole e procedure sinchè il dato permane appunto nel data base.

Ma norma nuova significa anche sanzioni (più severe) per gli operatori che si trovano a trattare i dati: chi non adempie ai nuovi obblighi, infatti, rischia di incorrere in batoste che nei casi più gravi possono arrivare a fino a 20 milioni di euro o al 4% del fatturato annuo. Indispensabile dunque, per chi non lo abbia già fatto, verificare che tutto sia a posto e non esitare a risolvere i dubbi: a tal fine il sistema Confcommercio Imprese per l’Italia, con i propri uffici presenti su tutto il territorio della Città Metropolitana è già pronta con un pacchetto di servizi a portata d’impresa. Vediamo dunque quali sono gli elementi di maggior rilievo, ribadendo che solo un’adeguata e competente consulenza tecnica potrà effettivamente risolvere ogni caso specifico.

Anzitutto gli obblighi del Regolamento UE 679/2016 si applicano a tutte le imprese e le pubbliche amministrazioni, riguardano la protezione delle persone fisiche con riferimento sia per quanto concerne il trattamento dei dati personali sia la libera circolazione di tali dati e trovano applicazione con riferimento sia al trattamento automatizzato sia a quello non automatizzato di dati personali.

Viene introdotta una nuova figura professione, accanto a quelle già previste: il responsabile per la protezione dei dati (RDP) con ciò si distribuiscono anche ruoli e funzioni. Infatti: il titolare del trattamento è il soggetto che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; il responsabile del trattamento è il soggetto che tratta i dati personali per conto del titolare del trattamento; infine il responsabile per la protezione dei dati (RDP) può essere sia un dipendente della società titolare del trattamento o, in alternativa, un professionista esterno competente in tema di protezione dati.

Non sempre è chiaro quando la nomina del RDP sia obbligatoria: a titolo meramente esemplificativo, si può dire che  si rende indispensabile  per imprese quali centri elaborazione dati e Internet provider; Società di trasporti, agenzie di viaggio, strutture alberghiere e ricettive in genere; società commerciali e industriali allorquando trattino consistenti masse di dati e, infine, studi professionali associati, società di revisione, società tra professionisti.

Il RDP deve informare e fornire consulenza al titolare e al responsabile del trattamento nonché ai dipendenti che eseguono i trattamenti; sorvegliare l’osservanza del Regolamento; fornire pareri in merito alla “Valutazione d’impatto sulla protezione dei dati”; cooperare con l’Autorità di controllo e fungere da punto di contatto con essa. Per quanto riguarda il capo al titolare del trattamento e il responsabile del trattamento sono stati sono stati profondamente rivisti compiti e responsabilità.

E’ opportuno altresì evidenziare che sono state riviste e maggiormente dettagliate tutte le procedure, come la modalità di trattamento dei dati, l’acquisizione del consenso, l’informativa.

E’ stato introdotto il cosiddetto Principio di “accountability”, ovvero di “responsabilizzazione”  di titolari e responsabili del trattamento, che sono tenuti a mettere in atto misure tecniche e organizzative adeguate per garantire e per dimostrare l’applicazione della normativa in materia di privacy. Spetta quindi al titolare che decide in maniera autonoma modalità, garanzie e limiti del trattamento dei dati personali, nel rispetto del regolamento e di determinati criteri.

Contemplati ex novo anche alcuni diritti degli interessati: oltre a quelli di accesso, rettifica e di opposizione, infatti, ora vi sono anche il diritto all’oblio (cancellazione); il diritto alla limitazione al trattamento dei dati; il diritto alla portabilità dei dati.

Obbligatorio un apposito Registro delle attività di trattamento, in questo caso però sono escluse le imprese o le organizzazioni con meno di 250 dipendenti, a meno che il trattamento non possa presentare un rischio per i diritti e le libertà dell’interessato ovvero non sia occasionale, o ancora includa il trattamento di categorie particolari di dati o di dati personali relativi a condanne penali e a reati.

Bisogna inoltre redigere una Valutazione di Impatto sulla Protezione dei Dati (VIPD/DPIA) sulla protezione dei dati quando si è in presenza di trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche; trattamenti automatizzati, ivi compresa la profilazione; trattamenti su larga scala di categorie particolari di dati personali, o dei dati relativi a condanne penali e a reati; dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.

Non va sottovalutata la procedura da attivarsi in caso di violazione dei dati. Se vi è il timore che da tale violazione derivino rischi per i diritti e le libertà degli interessati. In tal caso, infatti, c’è obbligo di notifica da parte del titolare del trattamento di ogni violazione dei dati trattati all’autorità competente entro 72 ore dal momento in cui ne venga a conoscenza (e comunque senza ingiustificato ritardo) e, in casi gravi, anche all’interessato.

Infine, per quanto riguarda la videosorveglianza, nell’installare gli impianti si devono rispettare i principi indicati dal Garante della Privacy e dalla normativa vigente. Anche in questo caso, vale la pena di rammentare, la normativa è stata profondamente aggiornata ed ora prevede, altresì, che l’installazione degli apparecchi è ammessa solo previo accordo con le rappresentanze sindacali aziendali e previa autorizzazione della Direzione Territoriale del Lavoro (D.T.L.), nelle aziende con minori dimensioni, ove mancano le rappresentanze sindacali.

L’accordo con le Rappresentanze sindacali o l’autorizzazione della D.T.L. devono in ogni caso essere preventivi rispetto alla installazione delle apparecchiature. La violazione di queste norme benché preveda sanzioni pecuniari, rimane comunque di natura penale.