Il “ Pacchetto Privacy ” è stato approvato da parte del Parlamento Europeo il 14 aprile del 2016. Il Regolamento Europeo 679/2016 che vi è contenuto, è un documento di “indirizzo” e non un insieme di precise regole di comportamento che, eventualmente, saranno in seguito elaborate da parte del nostro legislatore nazionale e successivamente riunite in un “Codice”, così come a suo tempo è accaduto con il Decreto Legislativo 30 giugno 2003, n. 196.
In quanto documento di “indirizzo”, il citato Regolamento è fondato sul principio della responsabilizzazione (c.d. “accountability”, secondo la terminologia anglosassone) e trova applicazione direttamente per tutti gli Stati Membri dell’Unione Europea a partire dal 25 maggio 2018. L’aspetto più significativo è sicuramente un cambio di approccio rispetto alle previsioni del Decreto Legislativo 30 giugno 2003, n. 196 attualmente ancora in vigore in Italia sino al 25 maggio 2018. Il Regolamento Ue, infatti, non interviene definendo dei requisiti specificati in maniera precisa, come invece avviene per l’attuale normativa italiana sulla privacy, ma sposta la responsabilità sulle misure di sicurezza dei dati personali in capo al “titolare del trattamento”. Pertanto, idonee misure di sicurezza devono essere individuate e progettate dal “titolare del trattamento” o dal “responsabile del trattamento” dopo avere condotto un’attenta analisi dei rischi, che diventa pertanto il momento centrale di tutto il processo. Il trattamento dei dati può quindi avere inizio soltanto dopo la definizione delle misure di sicurezza secondo uno schema operativo così rappresentato:
– definizione della tipologia di dati da sottoporre a trattamento;
– indicazione del tipo di trattamento cui sottoporli;
– verifica di quali possono essere i rischi di violazione della privacy dei dati nel corso del trattamento;
– identificazione delle opportune misure di sicurezza a tutela dei suddetti dati.
Tra i nuovi adempimenti previsti per determinate casistiche, si evidenziano infine:
– l’adozione di un “registro delle attività di trattamento”: in cui descrivere il nome e i dati di contatto del titolare del trattamento, le finalità del trattamento, una descrizione delle categorie di interessati e delle categorie di dati personali, le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, i termini ultimi previsti per la cancellazione delle diverse categorie di dati, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate;
– la nomina di un DPO (Data Protection Officer) quale consulente esperto autonomo e indipendente, che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali. In tal modo si tende a garantire che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.