Regolamento (UE) 2016/679

In relazione alla prevista applicazione del nuovo Regolamento (UE) 2016/679 (RGPD) sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, si comunica che il Garante per la privacy ha elaborato una prima guida che traccia un quadro generale delle principali innovazioni introdotte dalla normativa.

La stessa fornisce anche le indicazioni sulla prassi da seguire nonché gli adempimenti necessari per la sua corretta applicazione che sarà efficace in tutti gli Stati membri a partire dal 25 maggio 2018. Da tale data tutti i soggetti contemplati dalla normativa sono tenuti a rispettare il nuovo Regolamento che abroga la precedente Direttiva 95/46/CE.

Ciò considerato, la scrivente Commissione, che sta seguendo la materia con ogni opportuna attenzione, si riserva di informare con tempestività le Casse Edili sulle future evoluzioni interpretative al fine di porre in essere i richiesti adempimenti. Ad ogni buon fine reputa, fin d'ora, di porre in evidenza gli aspetti fondamentali del Regolamento.

La normativa in questione è diretta a tutti i soggetti che effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili).

Nel merito del suddetto documento e in attesa di ricevere, in tempi brevi, più dettagliate informative operative, si rileva che il nuovo Regolamento introduce numerose novità come: il diritto alla portabilità dei dati, il diritto all'oblio (riconosciuto fino ad ora solo a livello giurisprudenziale), il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati sui dati e di controllare gli stessi, il diritto di essere informato sulle violazioni dei propri dati personali ("data breach", notificazione di una violazione di dati). Il testo in esame riconosce, pertanto, un livello elevato e uniforme di tutela dei dati ed è finalizzato a dare un maggiore controllo sull'utilizzo dei dati personali.

Resta inteso che non dovrà essere richiesto un nuovo consenso laddove quello precedentemente raccolto risponda ai requisiti della nuova normativa.

Al centro del nuovo quadro giuridico si trova la figura del Responsabile della protezione dei dati (RPD-DPO), nominata dal titolare / dal responsabile del trattamento. Il RPD è chiamato a facilitare l'applicazione della normativa anche se non è considerato personalmente responsabile in caso di inosservanza degli obblighi in materia di protezione dei dati che restano in capo al titolare / responsabile del trattamento. Al titolare del trattamento è affidato il compito di effettuare una valutazione di impatto sulla protezione dei dati che deve avvenire sia preventivamente che nel corso del trattamento. In ossequio al principio di "protezione dei dati fin dalla fase di progettazione" (o data protection by design) il titolare del trattamento può chiedere l'assistenza del RDP affinché gli fornisca un "parere, in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'art. 35".

Il responsabile della protezione dei dati deve essere in possesso di specifici requisiti come, ad esempio, competenza, esperienza, conoscenze specifiche, qualità personali e organizzative in grado di svolgere un'opera di sorveglianza sulla corretta applicazione del regolamento europeo. Il RDP-DPO potrà essere nominato sia internamente che esternamente all'ente e sarà tenuto a presiedere i profili privacy, cooperando con l'Autorità Garante e riferire direttamente al vertice gerarchico del titolare del trattamento.

Relativamente all'obbligo della tenuta del registro delle attività di trattamento, previsto dall'art. 30 del RGPD, lo stesso non è previsto per le organizzazioni con meno di 250 dipendenti anche se, considerata la natura sensibile dei dati trattati dalle Casse Edili, non si esclude che l'obbligo possa gravare sulle stesse.

Confermando la riserva di una successiva comunicazione a breve anche attraverso la revisione del "codice in materia di protezione dei dati personali" pubblicato sul sito della CNCE, si segnala l'opportunità che le Casse procedano, fin d'ora, alla ricognizione e valutazione della nuova normativa sul trattamento dei dati personali nella prospettiva dell'adeguamento di quella già esistente al Regolamento comunitario.