Orientamenti della Commissione per l’applicazione diretta del regolamento generale sulla protezione dei dati dal 25 maggio 2018

Circolare n. 18/2018 – CO 6/2018

La Commissione europea, in vista dell’applicazione del nuovo regolamento UE 679/2016 in materia di protezione dei dati dal prossimo 25 maggio, ha pubblicato degli orientamenti per facilitare l’applicazione diretta del regolamento negli Stati membri.

La Commissione europea, in vista dell’applicazione del nuovo regolamento UE 679/2016 in materia di protezione dei dati dal prossimo 25 maggio (v. circolare n 50/2017), ha pubblicato degli orientamenti volti a facilitare l’applicazione diretta del regolamento in tutti gli Stati membri dell’UE (Allegato 1).

Si tratta di un documento che:

• riepiloga le principali novità e opportunità offerte dalla nuova normativa dell’UE in materia di protezione dei dati;
• fa il punto delle attività preparatorie svolte finora a livello di Unione;
• delinea ciò che la Commissione europea, le autorità nazionali di protezione dei dati e le amministrazioni nazionali devono ancora compiere per portare a termine con successo i preparativi;
• indica le misure che la Commissione intende adottare nei prossimi mesi.

La Commissione precisa che “il regolamento non ha modificato in modo sostanziale i concetti e i principi fondamentali della legislazione in materia di protezione dei dati introdotta nel 1995. La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni dell’UE non dovrà quindi introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento.
Il regolamento produce effetti per la maggior parte degli operatori le cui attività principali consistono nel trattamento dei dati e/o nel trattamento di dati sensibili, nonché per gli operatori che si occupano del monitoraggio regolare e sistematico delle persone fisiche su larga scala. Questi operatori, con tutta probabilità, dovranno nominare un responsabile della protezione dei dati, svolgere una valutazione d’impatto sulla protezione dei dati e notificare le violazioni dei dati in presenza di un rischio per i diritti e le libertà delle persone. Per contro, gli operatori, in particolare le PMI, la cui attività principale non consista in trattamenti dei dati che comportano un rischio elevato non saranno di norma soggetti a questi obblighi specifici previsti dal regolamento”.
Tuttavia è la Commissione stessa a ribadire che “è importante che i titolari del trattamento e i responsabili del trattamento svolgano riesami completi della loro politica in materia di dati al fine di individuare chiaramente quali dati conservano, per quali finalità e su quale base giuridica (per esempio ambiente cloud; operatori del settore finanziario). Devono inoltre esaminare i contratti in vigore, in particolare quelli tra titolari del trattamento e responsabili del trattamento, le modalità di trasferimento internazionale e la governance generale (quali misure informatiche e organizzative adottare), compresa la nomina di un responsabile della protezione dei dati. Un elemento essenziale di questo processo è garantire che i più alti livelli dirigenziali partecipino a tali riesami, forniscano il loro contributo e siano periodicamente aggiornati e consultati in merito alle modifiche della politica aziendale in materia di dati”.

Pertanto, la Commissione consapevole della necessità di sensibilizzare maggiormente le PMI sulla necessità di adeguarsi alle nuove norme in materia di protezione dei dati, ha pensato di mettere a disposizione degli orientamenti pratici per aiutare soprattutto le PMI (oltre che cittadini e PA) a conformarsi alle nuove norme. Tali orientamenti sono forniti tramite uno strumentario online, aggiornato periodicamente, con FAQ ed esempi pratici, disponibile al link http://ec.europa.eu/justice/smedataprotect/index_it.htm.