Nuovo Regolamento Europeo in materia di protezione dati

Illustration showing key elements of GDPR (effective 25 May 2018) – DPOs, Compliance, Data Breaches and Personal Data

Al fine di proteggere maggiormente i consumatori, con l’obiettivo di garantire uno spazio sicuro per dati e informazioni personali, lo scorso 25 maggio sono entrati in vigore il Regolamento Generale di Protezione dei Dati (RGPD), approvato due anni fa, e il Regolamento UE 2016/679 del Parlamento e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla loro libera circolazione, abrogando la Direttiva 94/46/CE (Regolamento generale della protezione dei dati), del 27 aprile 2016; a dispetto del tempo trascorso però le aziende e le Pubbliche Amministrazioni non sono ancora preparate per la corretta applicazione di quanto sopra.

Pertanto si cercherà in questa sede di sintetizzare i nuovi obblighi stabiliti dai regolamenti entrati in vigore.

Sono occorsi due anni per adattarsi al nuovo regolamento, ma ora ci si trova ad affrontare una situazione di improvvisa frenesia poiché, nella maggior parte dei casi, non sono state prese seriamente in considerazione le sfide che sorgono con le novità riguardanti la Ley Orgánica 15/1999 del 13 dicembre, di Protezione dei Dati di Carattere Personale (LOPD).

Va detto per esempio, che il RGDP mantiene gli stessi principi del consenso che stabilisce la LOPD, richiedendo cioè un consenso libero, informato, specifico e non ambiguo; ciò nonostante deve esserci necessariamente una dichiarazione dell’interessato o un’azione positiva che esprima il suo consenso e dal momento che il tacito assenso è scomparso, è obbligatorio che vengano contrassegnate le caselle corrispondenti di autorizzazione.

Allo stesso modo, per i minori di 16 anni è necessario il consenso dei genitori o di chi ne fa le veci, quindi è consigliabile per le aziende e gli organismi una revisione della forma con cui raccolgono il consenso, eliminando le pratiche che rientrano nel cosiddetto tacito assenso utilizzate regolarmente finora.

D’altra parte il regolamento stabilisce l’obbligo di informare sui nuovi aspetti, come la base legale per il trattamento che deve essere applicata, tra le altre cose, quindi è consigliabile rivedere il contenuto delle “legende” legali che sono state incorporate nei processi di raccolta dati affinché si adeguino alle nuove esigenze e affinché contengano i nuovi diritti che assistono le parti interessate.


Analogamente le aziende dovranno prestare particolare attenzione agli obblighi imposti, quali quello della creazione di un registro di attività di trattamento dei dati, la valutazione di impatto prima dell’inizio dell’elaborazione degli stessi, l’istituzione di meccanismi e procedimenti di notifica del trattamento dati in relazione alla sicurezza dei loro possessori, la valutazione dell’impatto nella protezione dei dati, l’adeguamento dei formulari secondo il diritto all’informazione e agli scopi degli utilizzatori di quei dati, l’adeguamento dei meccanismi e delle procedure per l’esercizio di tali diritti, la preparazione o l’adeguamento di una politica sulla privacy in base alle nuove condizioni del regolamento, attraverso programmi informatici e tecnologie necessarie per la corretta gestione dei dati ottenuti dall’azienda e la formazione dei dipendenti della stessa sul tema.

Il nuovo Regolamento prevede pene severe per coloro che non rispettano la vigente normativa nel settore, stabilendo nell’articolo 83 sanzioni individuali, efficaci, proporzionate e, molto importante, dissuasive.

Tuttavia il Regolamento regola solo i criteri o le questioni di base, poiché all’interno di ciascun paese membro dell’Unione Europea sarà applicata la normativa interna, come, nel caso della Spagna, la LOPD, sebbene aggiustata ai criteri dello RGDP, che mantiene questo carattere di efficacia e di dissuasione, sanzioni economiche molto dure per i trasgressori, considerando che nella sua elaborazione sono state considerate le grandi aziende, dimenticando quindi le piccole e medie imprese che in realtà rappresentano la maggior parte del tessuto imprenditoriale e che, in caso di infrazione e conseguente sanzione, potrebbero inesorabilmente affrontare un grave dissesto finanziario e quindi la bancarotta.

Ed è per questo che è più che mai necessario il massimo sforzo possibile per essere aggiornati secondo le nuove disposizioni.

Optimus Abogados