Il GDPR, General Data Protection Regulation, entrerà in vigore il 25 maggio 2018, in forza del Regolamento UE 2016/679, che comporta importanti novità in materia di privacy e di trattamento dei dati personali. In questo senso, risulta fondamentale il ruolo della Pubblica Amministrazione nel GDPR che, in qualità di titolare del trattamento, deve rispettare tutto ciò che concerne in materia di protezione dei dati personali, e in particolare rispettare i principi di trasparenza e soprattutto il principio di responsabilizzazione (o accountability). Già ai sensi del D.Lgs n.33/2013, la Pubblica Amministrazione, per le pubblicazioni di atti o di documenti vari, deve rispettare i principi dettati dal seguente decreto, tra cui il “principio di necessità”, secondo il quale bisogna pubblicare solo il necessario, per garantire un principio di trasparenza.
Il Regolamento Generale per la Protezione dei Dati Personali, (in italiano RGPD), si prefigge come principio cardine, sia il principio di trasparenza, ma soprattutto di protezione dei dati personali. Infatti, a sorvegliare sul corretto funzionamento della privacy dell’interessato e anche sulla disciplina regolamentare in tema di diritto all’oblio, a tutela dei provvedimenti amministrativi dettati dal Garante Privacy sarà il Responsabile della Protezione Dati, o meglio conosciuto a livello globale come DPO. Il Data Protection Officer, o semplicemente DPO, rappresenta una figura fondamentale per il GDPR 2018, in quanto la Pubblica Amministrazione, così come qualsiasi tipo di soggetto e/o istituzione pubblica, come previsto dalla ratio legis dell’obbligatorietà del c.d., deve disporre di tale figura. Inoltre, come emerge dal Regolamento GDPR, la Pubblica Amministrazione dovrà obbligatoriamente adottare un approccio di “data protection by default and by design” per la pubblicazione di atti o documenti amministrativi, nel rispetto di una totale trasparenza verso gli utenti. Nella configurazione della privacy by design e by default, le pubbliche amministrazioni, in qualità di titolari del trattamento, devono individuare fin dall’inizio le garanzie efficaci per la tutela dei diritti degli interessati. Nello specifico, ciò significa che i titolari del trattamento devono effettuare una valutazione a monte per l’impatto della privacy, stabilendo quindi cosa è possibile pubblicare e successivamente anche su come pubblicarla. Importante è il corretto svolgimento delle normative del Regolamento GDPR, per non incorrere in sanzioni che ammontano a 20 milioni o al 4% del fatturato annuo mondiale dell’azienda o ente in questione.
