Il 25 maggio 2018 è la data che segna il passaggio dal D. Lgs. n. 196/2003 al Regolamento Europeo 27/04/2016 n. 679 (GDPR – General Data Protection Regulation).
Tale cambio comporta l’abrogazione della norma finora applicata e la costituzione del nuovo Codice della Privacy che, oltre a richiamare le disposizioni previste dal Regolamento europeo, inserisce precise disposizioni, tra cui le sanzioni penali.
Attraverso il nuovo Regolamento il legislatore comunitario intende limitare la potenziale portata negativa per la libertà dei singoli interessati nata dalla rapida diffusione delle nuove tecnologie.
La nuova normativa punta sulla responsabilizzazione del titolare del trattamento dei dati e sulla effettiva comprensione dell’informativa da parte dell’interessato.
L’informativa dovrà essere concisa e scritta con un linguaggio chiaro e semplice, in modo che risulti di facile comprensione.
L’informativa è data per iscritto e, preferibilmente, in formato elettronico.
Per quanto riguarda i dati sensibili, è previsto il consenso esplicito; questo non deve essere necessariamente scritto, ma può essere manifestato attraverso una dichiarazione o azione positiva inequivocabile.
Per consentire un’efficace catena di protezione dei dati personali è necessario procedere ad un tracciamento della catena di custodia e utilizzo dell’informazione attraverso la definizione di ruoli e compiti all’interno della struttura del Titolare.
Il Titolare nomina in Responsabile del trattamento dei dati; tale nomina è, a tutti gli effetti, un contratto nel quale dovranno essere tassativamente specificate le materie del trattamento.
Il Responsabile deve tenere il Registro dei trattamenti svolti, contenente un quadro aggiornato dei trattamenti in essere all’interno dell’azienda, adottare misure atte a garantire la sicurezza dei trattamenti e designare, se necessario, il Responsabile per la protezione dei dati, che assolve alle funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del nuovo Regolamento.
Il Responsabile della protezione dei dati è una figura obbligatoria, a titolo esemplificativo ma non esaustivo, per istituti di credito, imprese di assicurazione, società finanziarie e di revisione, CAF e patronati, società operanti nel settore della cura della salute.