Dal 25 maggio è divenuto applicabile e vincolante per tutti i Paesi membri dell’Unione europea il nuovo Regolamento sulla protezione dei dati personali – identificato con l’acronimo di GDPR (General Data Protection Regulation) 679/2016. Benché prevalga sulle normative nazionali degli Stati membri, il Regolamento non ha integralmente abrogato la precedente disciplina interna nota come Codice della Privacy (d.lgs. 196/2003). Pertanto, in tutti quegli ambiti che non sono direttamente normati dal nuovo regolamento o che sono demandati espressamente alla legislazione interna, continua per ora a applicarsi il vecchio codice sia pure nel rispetto dei nuovi principi introdotti dalla normativa europea.
Il nostro Governo dovrà adottare ora, anche per chiarire alcuni dubbi, gli atti necessari all’armonizzazione della normativa nazionale alle disposizioni regolamentari. Il termine per l’esercizio della delega è stato prorogato al 21 agosto 2018. Tra gli aspetti più rilevanti che, in questa prima fase applicativa, meritano attenzione si segnalano i nuovi compiti e funzioni che sono assegnate al responsabile del trattamento, l’introduzione della nuova figura del contitolare del trattamento e del responsabile della protezione dei dati.
Significative modifiche si riscontrano anche nell’informativa e nel consenso. La prima, per effetto della nuova normativa, va strutturata in forma concisa, trasparente, intellegibile, facilmente accessibile e con un linguaggio semplice e chiaro. Inoltre, se richiesto dall’interessato, può essere resa anche oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato medesimo. Le informazioni devono essere date per iscritto o con altri mezzi (compreso il formato elettronico).
Viene vietata, inoltre, ogni forma di consenso tacito oppure raccolto attraverso la presentazione di preferenze già selezionate. È facoltà dell’interessato, poter revocare in ogni momento il consenso a suo tempo prestato.
È stato introdotto anche il cosiddetto “diritto all’oblio” in base al quale l’interessato è legittimato ad ottenere la cancellazione dei propri dati personali, anche on line, da parte del titolare del trattamento, qualora ne ricorrano le condizioni previste. Un’ulteriore novità prevista dalla nuova disciplina regolamentare - che avrà un impatto significativo sugli adempimenti a carico delle piccole e medie imprese - è l’obbligo di munirsi del registro dei trattamenti. Va, difatti, evidenziato che nell’interpretazione ultima data in sede comunitaria, l’obbligo di munirsi del registro deve intendersi generalizzato a tutte le imprese e non più limitato, come si prospettava inizialmente, soltanto a quelle dimensionalmente più strutturate (con più di 250 dipendenti).
Da tempo, Confapi ha iniziato una fitta interlocuzione con il Garante della Privacy al fine di poter predisporre una guida pratica – condivisa con l’Authority – che faciliti l’approccio, da parte delle imprese associate e dell’intero sistema associativo, ai nuovi adempimenti legati alla normativa di settore introdotta dal Regolamento europeo. All’esito degli ultimi incontri istituzionali, si sta predisponendo la versione definitiva del documento che verrà a breve ritrasmesso all’Autorità per ottenerne la piena validazione.
Ufficio Stampa Confapi Padova
stampa@confapi.padova.it