Il regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al 1) trattamento dei dati personali e 2) alla libera circolazione di tali dati* è stato pubblicato sulla GU UE del 4 maggio 2016 ed entrerà in vigore il 25 maggio prossimo. Da questa data, gli interessati, cittadini ed imprese dei Paesi membri avranno due anni di tempo (25 maggio 2018) per adeguarsi alle nuove disposizioni.
Composto da 99 articoli, il corposo materiale del regolamento, definito subito e un po’ da tutti anche “complesso”, è diviso in 14 capitoli.
Nel primo, ambito di applicazione si legge che “Il regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali “(c. 2, art. 1). La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali” (c. 3 art 1) . In nota, ci è sembrata significativa la frase quale per la quale il regolamento “è inteso a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche”.
Seguono i principi, i diritti degli interessati, i compiti, i doveri e le responsabilità del Titolare e del Responsabile del trattamento, la Disciplina dei “garanti privacy” nazionali e della UE.
A proposto dei diritti degli interessati , quello di “accesso”, (art. 15), si manifesta nell’ottenere “dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e a alcune informazioni…, distinte a seconda che i dati personali siano trasferiti, oppure no, a un paese terzo o a un’organizzazione internazionale….”. In questo ultimo caso l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate (art. 46).
Gli articoli da 24 a 43 vertono sui compiti, i diritti e le responsabilità del titolare (in primis, “mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento”) e del responsabile del trattamento dei dati. A questo proposito è conveniente ricordare le figure organizzative per la gestione della privacy (titolare del trattamento, responsabile del trattamento, rappresentanti di titolari del trattamento stabiliti o meno nell’Unione).
Fra gli adempimenti dei responsabili del trattamento l’art. 30 ricorda la tenuta dei registri del trattamento, mentre l’art. 32 (sicurezza del trattamento) impone l’obbligo al titolare e al responsabile, – tenendo conto dello stato dell’arte e dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche -, di “mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
A livello di autorità politico- amministrative dei singoli Membri dell’ UE il regolamento (art. 40) incoraggia l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione delle nuove regole sulla privacy, “in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese”.
* Abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Info: Regolamento UE 2016/79 GU UE 4 maggio 2016