Il quadro di regole introdotte dal REGOLAMENTO (UE) 2016/679, a prescindere da come verrà recepito dal legislatore nazionale, chiaramente comporterà per i destinatari un onere di adeguamento in termini di procedure organizzative.

Il titolare del trattamento infatti dovrà mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento venga effettuato conformemente al regolamento. Dette misure sono riesaminate e aggiornate qualora necessario, ciò così comportando una necessaria attività di screening interna periodicizzata. Sul punto, si prevede infatti che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

Sempre a fini organizzativi, il Regolamento prevede altresì l’istituzione dei Registri delle attività di trattamento: ogni titolare del trattamento dovrà tenere un registro delle attività di trattamento svolte sotto la propria responsabilità.

Tale registro dovrà contenere tutte le seguenti informazioni:

1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
2. le finalità del trattamento;
3. una descrizione delle categorie di interessati e delle categorie di dati personali;
4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
8. Tuttavia, tale forma obbligatoria organizzativa interna porta con sé una limitazione: ed infatti detto obbligo non si applicherà alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati sensibili, o i dati personali relativi a condanne penali e a reati.

Ma le nuove disposizioni prevedono anche il nuovo sistema di valutazione preventiva di impatto dei rischi del trattamento, affermando che qualora un tipo di trattamento, specialmente se effettuato con l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.

La valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:

1. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
2. il trattamento, su larga scala, di categorie particolari di dati personali sensibili, o di dati relativi a condanne penali e a reati; o
3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.Al fine di rispettare i suddetti obblighi organizzativi interni, il regolamento prevede l’obbligo di istituzione della nuova figura del responsabile della protezione dei dati, designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, il quale potrà anche essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

Quali i suoi compiti?

Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
2. sorvegliare l’osservanza del regolamento;
3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
4. cooperare con l’autorità di controllo; e
5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.

Data protection officer: è una nuova figura di riferimento per imprese e P.A., per utenti e clienti; inoltre è l’interfaccia per le autorità garanti. Nel settore privato dovrà essere nominato in caso di trattamenti di dati su larga scala o di monitoraggio sistematico degli interessati su larga scala.

Dunque se volessimo sintetizzare le novità/obblighi riportati nel regolamento, e le conseguenti attività da porre in essere a  carico di soggetti imprenditoriali che si trovino a trattare dati personali relativi a persone fisiche, potremmo affermare che:

• è necessario implementare la professionalità interna dei singoli dipendenti ed aumentare la consapevolezza sul tema, da parte degli organismi dirigenziali (ad es. CDA);
• è necessario attuare nuove e più stridenti politiche di compliance ed una rivisitazione dell’organizzazione interna del soggetto economico titolare del trattamento del dato;
• è necessario attuare periodiche attività di audit interna per verifiche periodiche;
• è necessario rivedere le informative contrattuali;
• è necessario rivedere le politiche di condivisione interna dei dati;
• è necessario regolamentare la c.d. profilatura marketing dei dati e il c.d. diritto di accesso o di opposizione al trattamento dei dati da parte degli interessati e, da ultimo,
• procedere ad una revisione dell’organizzazione interna al fine di identificare precise responsabilità, anche in relazione alle altre figure di controllo già esistenti in azienda.