Passa al contenuto
Modello di organizzazione e di gestione 231

15 giugno 2016

Gazzetta Ufficiale dell’Unione Europea del 4 maggio 2016

Il nuovo Regolamento generale sulla protezione dei dati

Gazzetta Ufficiale dell’Unione Europea del 4 maggio 2016

regolamento europeo privacyE’ in vigore dal 24 maggio 2016 il Regolamento europeo n. 679 del 27 aprile 2016 in materia di protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea del 4 maggio 2016 (L 119) insieme alla Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini, cd “pacchetto protezione dati”. Va precisato, peraltro, che le norme del Regolamento non troveranno immediata applicazione a partire dal 24 maggio 2016, poiché da quel giorno inizierà a decorrere il termine di due anni entro i quali tutti gli Stati Membri dovranno adeguare le norme nazionali in materia di “privacy” alle prescrizione regolamentari. Decorso tale termine si porranno due alternative: o gli Stati avranno adottato norme di recepimento delle prescrizioni regolamentari che – quindi – troveranno applicazione dalla data della loro entrata in vigore ovvero, in caso contrario, il Regolamento 2016/679 troverà automatica e diretta applicazione dal 25 maggio 2018, con conseguente disapplicazione di tutte le norme nazionali che fossero in contrasto con lo stesso. Il Regolamento, che dovrà essere applicato in tutti i Paesi UE dal 25 maggio 2018, prevede il coinvolgimento di Organismi di certificazione accreditati per valutare la conformità dei sistemi di protezione dei dati attivati dai titolari o dai responsabili del trattamento soggetti al Regolamento (Articoli 42 e 43). La norma indicata come riferimento per l’accreditamento degli Organismi è la EN ISO/IEC 17065:2012 che disciplina il rilascio della certificazione di prodotto, di cui il titolare o il responsabile del trattamento dei dati potranno dimostrare il possesso con “sigilli o marchi”. L’adesione al sistema dei controlli di conformità è volontaria e la certificazione, che è valida per un massimo di tre anni – rinnovabile alle stesse condizioni – non sottrae il titolare o il responsabile del trattamento dei dati dalle responsabilità che sono loro attribuite dalla legge. Il Regolamento, all’art. 43 in particolare, prevede che l’accreditamento possa essere rilasciato agli Organismi di certificazione dall’Ente unico nazionale di accreditamento, in Italia ACCREDIA, o dall’Autorità competente, per l’Italia l’Autorità Garante per la protezione dei dati personali. Sono gli Stati europei a garantire che l’accreditamento sia affidato a uno solo o a entrambi i soggetti indicati nel provvedimento. Dalla lettura dell’art. 58 si desume inoltre che la certificazione potrà essere rilasciata sia dagli Organismi di certificazione sia dall’Autorità competente, e dovrà rispondere a criteri approvati dall’Autorità di controllo oppure dal Comitato europeo per la protezione dei dati istituito dal Regolamento stesso. Il Regolamento fissa alcuni requisiti a cui l’Organismo di certificazione dovrà dimostrare all’Autorità di controllo la propria conformità, quali l’indipendenza e la competenza, e il rispetto dei criteri di accreditamento imposti dall’Autorità stessa, che ha il potere di verificare il rispetto delle regole nell’emissione dei certificati. L’Autorità di controllo ha inoltre la funzione esclusiva di accreditare, in base alla valutazione di requisiti specificati nel Regolamento, i soggetti che verificano la conformità dei titolari o dei responsabili del trattamento che aderiscono a codici di condotta proposti da associazioni o altri organismi delle proprie categorie. L’adesione a tali codici di condotta o la certificazione può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare o del responsabile del trattamento. Il Regolamento, infine, prevede cha la Commissione europea potrà adottare atti di esecuzione per stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati, nonché le modalità per promuoverli e riconoscerli (Art. 43, comma 9). Sommario 1. Gli obiettivi della riforma della normativa sulla protezione dei dati e il lungo procedimento che ha portato alla sua approvazione. ― 2. L’ambito di applicazione del Regolamento e le definizioni in esso fornite. ― 3. Principi, obblighi di trasparenza, diritto di accesso e portabilità dei dati. ― 4. La nuova disciplina dei dati sensibili e la profilazione. ― 5. Il diritto di rettifica, il diritto alla cancellazione (“diritto all’oblio”), il diritto di limitazione del trattamento e il diritto di opposizione. ― 6. 6. La “privacy by design” e privacy “by default”, la valutazione d’impatto, il Data Protection Officer, i data breach e le nuove sanzioni.

MODI qualità ambiente sicurezza formazione modelli 231