Nella parte iniziale la Guida si focalizza sulla responsabilizzazione di titolari e responsabili, in merito all’adozione di comportamenti proattivi che consentono di dimostrare ed assicurare la corretta osservazione del Regolamento. Quest’ultima rappresenta una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati personali.
Il primo criterio stabilito dal Regolamento è “data protection by default e by design”, ossia configurare il trattamento prevedendo le garanzie indispensabili al fine di soddisfare i requisiti del Regolamento. Un altro criterio molto importante riguarda il rischio inerente al trattamento, ovvero il rischio di impatti negativi sulle libertà e i diritti degli interessati. Verrà avviato un processo di valutazione tenendo conto dei rischi e delle tecniche che il titolare ritiene di dover adottare per mitigare i rischi. Ottenuto l’esito della valutazione il titolare potrà decidere se iniziare il trattamento ovvero consultare l’autorità di controllo per ottenere indicazioni su come gestire il rischio residuale.
Una delle principali novità in termini di adempimenti da parte dei titolari riguarda il registro dei trattamenti, che rappresenta uno strumento fondamentale ai fini della supervisione del Garante, ma ha anche lo scopo di disporre un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. La tenuta del registro dei trattamenti costituisce parte integrante di un sistema di corretta gestione dei dati personali.
Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. L’Autorità potrà valutare la definizione di linee-guida sulla base dei risultati positivi conseguiti in questi anni. Inoltre, per alcune tipologie di trattamenti potranno restare in vigore le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili.
La Guida si propone come un utile strumento di consultazione per chi opera in ambito pubblico e privato, un manuale agile, in particolare per le piccole e medie imprese, e offre una panoramica sui principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento.
Il Regolamento stabilisce la designazione di una nuova figura ovvero il Responsabile della protezione dei dati personali. Proprio il RPD è una delle novità introdotte dal Regolamento, una figura indipendente, autorevole e con competenze manageriali, che offre consulenza e supporto al titolare e funge da punto di contatto con il Garante.
Il Regolamento Ue -lo ricordiamo- ha introdotto anche nuovi diritti riconosciuti alle persone, come quello di poter trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network (“diritto alla portabilità”), o come il diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte. Un ulteriore approfondimento è dedicato agli strumenti legali che regolano il trasferimento dei dati personali in Paesi extra Ue.
S.B.