Il Regolamento generale per la protezione dei dati personali (UE)n. 2016/679 è la normativa europea in materia di protezione dei dati personali di persone fisiche, pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016 ma la sua attuazione è avvenuta a distanza di due anni, a partire dal 25 maggio 2018. 

Trattandosi di un regolamento non necessita di recepimento da parte degli Stati dell’Unione per cui è attuato allo stesso modo in tutti gli Stati dell’Unione. Il suo scopo è, infatti, la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea.

Lo stesso Regolamento però prevede che la normativa nazionale possa integrarsi con le proprie disposizioni, affinché il suo contenuto sia suscettibile di attuazione concreta ad es.: 

 per effetto di uno specifico rinvio del regolamento stesso;

 per integrare o interpretare una specifica disposizione (purché non in contrasto con il Regolamento).

I principi del Reg. UE 2016/2016

Tra i numerosi elementi di novità introdotti dal Regolamento si indicano, di seguito, quelli di maggior impatto sia a livello organizzativo che tecnico-informatico.

Risk management

E’ necessario mettere in atto un processo di risk management, trova concreta attuazione:

–   nell’obbligo di realizzare un privacy impact assessment;

–   nei principi generali:  privacy by design e privacy by default.

Obbligo di documentazione

Predisposizione, conservazione e messa a disposizione dell’Autorità di controllo (ove richiesto) della documentazione del registro di trattamento contenente: 

–          il nominativo delle figure coinvolte nel trattamento, 

–          le finalità,

–          la descrizione delle categorie di dati coinvolti e degli interessati,

–          l’identificazione dei destinatari o delle categorie di essi cui siano comunicati i dati personali, 

–          la descrizione delle misure (tecniche ed organizzative) adottate in esecuzione del principio privacy by design.

Data breach

L’obbligo generale di comunicare al Garante Privacy gli incidenti e/o le più gravi violazioni (c.d. data breach).

Data Protection Officer

Con riferimento agli enti pubblici e alle aziende che trattino particolari categorie di dati (quali, ad esempio, quelli relativi all’origine razziale o etnica, oltre che i dati genetici o biometrici), l’obbligo di individuare e nominare un Data Protection Officer, soggetto dotato di specifici requisiti professionali, con funzioni di supporto, vigilanza e control-lo di compliance.

I.N.D. offre la consulenza necessaria per la messa a norma dell’azienda e dello studio professionale.