Come è ormai ben noto, a breve le disposizioni nazionali in materia di Privacy verranno sostituite dal nuovo Regolamento UE/679/2016 (GDPR, General Data Protection Regulation) che ha predisposto una disciplina ad hoc sulla protezione dei dati personali e che sarà direttamente applicabile sul territorio degli Stati membri a partire dal prossimo 25 maggio. Prima di affrontare le principali novità introdotte dal GDPR, è bene ricordare che la vigente disciplina nazionale in materia di protezione dei dati personali (cosiddetto Codice della Privacy, D. Lgs. 196/2003) era già conforme ai principi fondamentali del nuovo Regolamento, a dimostrazione della bontà ed efficacia del sistema italiano nel settore della Privacy.
L’attuale sistema di protezione non subirà infatti dei drastici cambiamenti, ma la primaria esigenza di tutela del soggetto più debole (ovvero l’utente i cui dati personali vengono trattati) -unitamente alla crescente diffusione degli strumenti digitali- ha spinto il Legislatore europeo a voler uniformare la materia della Privacy tra tutti gli Stati membri. La novità forse più importante è data dalla previsione del Diritto alla Cancellazione di cui all’art. 17 GDPR, in quanto rappresenta il primo riconoscimento legislativo del controverso Diritto all’oblio: con esso il singolo interessato ha diritto a chiedere ed ottenere dal titolare del trattamento “la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo” in presenza di determinati requisiti. In generale, il Diritto all’oblio così definito deve essere garantito ogniqualvolta non sussista un interesse pubblico contrario e prevalente alla permanenza di dette informazioni in rete, ovvero quando l’interessato non rivesta un ruolo pubblico di rilievo che possa giustificare la diffusione dei dati che lo riguardano: in tutte queste ipotesi, se le informazioni risultino obsolete, non aggiornate nè attuali, il singolo utente può esercitare con successo il diritto all’oblio.
Le altre innovazioni riguardano aspetti più tecnici che possono apparire meno importanti ma che in realtà incideranno fortemente sul sistema di protezione dei dati di tutti noi. Dal 25 maggio le aziende o, in generale, i soggetti che presentino specifici requisiti strutturali dovranno nominare un D.P.O. (Data Protection Officer), un professionista specializzato in materia di trattamento dei dati che avrà il compito di verificare e garantire l’esatta osservanza delle disposizioni del GDPR.
Un’altra importante novità è rappresentata dalla previsione del Principio di Accountability. La necessaria “responsabilizzazione” dei Titolari o Responsabili del trattamento impone agli stessi di notificare le eventuali violazioni riscontrate senza ritardo (o comunque entro 72 ore) all’Autorità competente , salvo i casi in cui ritengano che dette violazioni non possano rappresentare “un rischio per i diritti e le libertà delle persone fisiche” (Considerando n. 85).
