Dal 25 maggio 2018 entrerà in vigore il nuovo regolamento Ue 679/2016 in materia di privacy, cioè di protezione e trattamento dei dati personali. C’è solo un anno di tempo per adeguarsi alla normativa che comporterà nuovi obblighi per le imprese e sanzioni salate in caso di violazione: fino a 10 milioni di euro in caso di violazione degli obblighi in capo alle imprese, o anche fino a 20 milioni di euro per le violazioni dei principi del regolamento e dell’oggetto della tutela, cioè i diritti degli interessati. Le novità sono molte e complesse, tanto che, per agevolare l’adeguamento, il garante della privacy ha reso disponibile sul proprio sito una guida alla lettura del nuovo regolamento in sei schede, suddivise per argomento, all’interno delle quali è indicato puntualmente cosa cambia e cosa resta uguale rispetto la precedente normativa. Le schede riguardano: 1) i fondamenti di liceità del trattamento; 2) il titolare responsabile; 3) l’informativa; 4) l’approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; 5) diritti degli interessati; 6) i trasferimenti internazionali dei dati. I punti chiave della normativa riguardano il consenso e le figure del titolare e del responsabile del trattamento e quella del responsabile della protezione dei dati (Dpo). Per i dati sensibili ex art. 9 del regolamento, cioè quei “dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” il consenso dovrà essere – come prevedeva la precedente disciplina – libero, specifico, informato e inequivocabile e, in più, esplicito, ma non necessariamente scritto. La forma scritta, tuttavia, è considerata dal regolamento stesso come idonea a configurare e dimostrare la sussistenza dei requisiti del consenso, uno degli obblighi cui è tenuto il titolare del trattamento. Ulteriore novità relativamente al consenso è la sua validità a partire dai 16 anni e non più dalla maggiore età: si accorcia dunque la fascia di età durante la quale la raccolta del consenso di un soggetto va effettuata presso il genitore o il tutore. La tutela della privacy disegnata dal regolamento UE passa anche dalla responsabilizzazione di due categorie di persone ben individuate: il titolare e il responsabile del trattamento. Il titolare, cioè l’impresa, si richiede una serie di adempimenti che vanno ben oltre la semplice raccolta e documentazione del consenso: sarà necessario comprovare la base giuridica per la quale il consenso è stato raccolto e i dati trattati, tenere un registro dei trattamenti, redigere analisi dei rischi e valutazioni di impatto sulla privacy. Il titolare dovrà poi nominare il responsabile del trattamento, figura coadiuvante i cui compiti devono essere fissati tassativamente in un atto giuridico, meglio se un contratto. Sempre mediante contratto, sarà consentita la delega di specifiche attività di trattamento a sub-responsabili, per l’operato dei quali il responsabile risponde davanti al titolare. Questa struttura gerarchica prevede un ulteriore livello nei casi dell’art. 37 del regolamento, cioè quando il titolare è un’autorità o un organismo pubblico, oppure quando l’attività principale dell’impresa è il monitoraggio di persone su larga scala: in questi casi, l’impresa è tenuta a nominare un responsabile della protezione dei dati (Dpo), figura con compiti di consulenza verso il titolare e il responsabile del trattamento e di vigilanza sul loro operato. Laddove presente, il Dpo –che può essere un soggetto sia interno sia esterno all’impresa – assume su di sé tutte le responsabilità derivanti dalla vigilanza sulle attività di trattamento dei dati, motivo per cui è lo stesso regolamento a richiedere che sia designato in funzione di comprovate qualità professionali, “in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, lasciando intendere che il background formativo ideale per un Dpo debba essere quello giuridico piuttosto che IT (tendenza che invece, secondo un’indagine di Federprivacy, le imprese alimentano). La portata del regolamento 679/2016 UE si comprende se si considera che tutte le imprese trattano dati, dunque devono proteggerli (anche le aziende il cui core business potrebbe sussistere senza raccogliere dati, incappano nei meccanismi dell’era dell’addressable advertising): la protezione dei dati, dunque, è un’attività costante di qualunque impresa. Adeguarsi alla normativa europea di prossima entrata in vigore significa fare investimenti in termini di organizzazione per dotarsi di un apparato di risorse in grado di gestire obblighi e adempimenti richiesti dal regolamento, costo che –ad oggi – è tra i maggiori ostacoli all’adeguamento. Una ricerca di Vason Bourne commissionata dalla società informatica Compuware Corporation ha rivelato come, tra 400 grandi aziende operanti in Europa e Stati Uniti, solo il 38% ha in atto un piano per attuare al proprio interno il regolamento Ue nel termine di un anno, mentre la restante maggioranza probabilmente arriverà al 2018 con il rischio di subire sanzioni per non conformità. (V.D. per NL)