Il 17 ottobre è stata approvata in via definitiva dalla Camera dei deputati la “Legge 25 ottobre 2017 n. 163”, successivamente pubblicata sulla Gazzetta Ufficiale n. 259 del 6 novembre 2017 recante il titolo: “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017”.
In merito all’articolo 13 della suddetta legge, viene delegato al Governo il compito di adeguare il quadro normativo nazionale alle disposizioni del Regolamento (UE) n. 2016/679 al fine di garantire un sistema armonizzato in materia di privacy entro sei mesi dalla data di entrata in vigore della legge, previo parere delle competenti Commissioni parlamentari e del Garante per la protezione dei dati personali.
Il Regolamento n. 2016/679 del Parlamento e del Consiglio europeo del 27 aprile 2016, insieme alla direttiva (UE) 2016/680, costituisce il “pacchetto di protezione dei dati personali” e ridefinisce la disciplina europea in materia di privacy in modo dare realizzare un quadro più solido e coerente e di superare la frammentazione derivante dell’applicazione della protezione dei dati personali nei territori dell’Unione. Il Regolamento verrà applicato in tutti i Paesi membri a partire dal 25 maggio 2018. Le modifiche più significative riguardano i seguenti punti:
- l’ampliamento dell’ambito di applicazione della disciplina europea in materia di privacy ai soggetti stabiliti al di fuori dell’Unione;
- la previsione di più rigorosi requisiti formali richiesti per la validità del consenso al trattamento dei dati personali da parte degli interessati. Tale consenso verrà ritenuto valido solamente se verrà reso attraverso un atto positivo e inequivocabile. Esso potrà inoltre essere revocato, senza limiti di sorta, da parte degli interessati;
- la previsione sia del diritto all’oblio (la cancellazione definitiva dei dati), che del diritto alla portabilità da un titolare del trattamento ad un altro su richiesta degli interessati;
- l’introduzione del concetto della protezione dei dati personali “by design” e “by default”, ovvero la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso e per il tempo necessario alla realizzazione delle stesse;
- la previsione in capo ai titolari del trattamento degli obblighi di compiere una “valutazione d’impatto” iniziale per i trattamenti di dati più delicati e di tenere un registro delle attività relative al trattamento stesso;
- l’introduzione della figura del “Data protection officer”. Tale soggetto avrà il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal Regolamento, di vigilare sul loro effettivo adempimento, di fornire le sopracitate valutazioni d’impatto sulla protezione dei dati raccolti e di interfacciarsi, da un lato, con gli interessati, e dall’altro, direttamente con il Garante;
- la previsione della possibilità per i titolari e per i responsabili del trattamento di ottenere da parte dell’autorità di controllo una certificazione riguardante la conformità del trattamento alla normativa prevista dal Regolamento;
- un inasprimento del regime sanzionatorio: nel caso di violazioni del Regolamento sono previste sanzioni pecuniarie fino ad un massimo di euro 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo.