Il Regolamento nasce per uniformare le normative dei paesi UE in tema di privacy e fornire un sistema di tutele condiviso, nei confronti di tutti i cittadini dell’unione.

Ogni trattamento deve fondarsi sul rispetto dei principi fissati nel Regolamento (artt. 5 e 6) e garantire agli interessati tutti i diritti previsti (artt. 13-22).

I principali diritti del cittadino sono il diritto ad essere informato e ad esprimere il proprio consenso, il diritto di opposizione, di accesso, di portabilità, di rettifica, di limitazione, il diritto alla cancellazione e all’oblio.

La prima attività che deve svolgere un ente è sicuramente quella di individuare il rischio e svolgere una valutazione di impatto. Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi, eventualmente consultando il Garante alla luce di questa valutazione.

Altro importante adempimento è quello di redigere un “registro dei trattamenti”. Si tratta di uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere. I contenuti minimi sono indicati all’art. 30 del Regolamento. Deve avere forma scritta, anche elettronica, e va esibito su richiesta al Garante.

Il titolare e il responsabile del trattamento sono obbligati ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

L’obiettivo primario è sicuramente quello di evitare una violazione dei dati (c.d. Data Breach). Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Per tale motivo è di fondamentale importanza la nomina di un Data Protection Officer. La designazione (in vari casi obbligatoria) di un DPO/RPD riflette l’approccio responsabilizzante del Regolamento. Fra i suoi compiti rientrano la sensibilizzazione e formazione del personale, la sorveglianza sullo svolgimento della valutazione di impatto, la funzione di punto di contatto per gli interessati e per il Garante per ogni questione attinente all’applicazione del Regolamento.

Nel caso di violazione dei propri diritti ciascun cittadino può proporre reclamo al Garante. Il reclamo è lo strumento che consente all’interessato di rivolgersi al Garante per la protezione dei dati personali, per lamentare una violazione della disciplina in materia di protezione dei dati personali (art. 77 del Regolamento (Ue) 2016/679 e artt. da 140-bis a 143 del Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento) e di richiedere una verifica dell‘Autorità.

Il reclamo può essere sottoscritto direttamente dall’interessato oppure, per suo conto, da un avvocato, un procuratore, un organismo, un’organizzazione o un’associazione senza scopo di lucro.

Il reclamante potrà far pervenire l’atto utilizzando la modalità ritenuta più opportuna, consegnandolo a mano presso gli uffici del Garante (all’indirizzo di seguito indicato) o mediante l’inoltro di:

1. a) raccomandata A/R indirizzata a: Garante per la protezione dei dati personali, Piazza Venezia, 11 – 00187 Roma;
2. b) messaggio di posta elettronica certificata indirizzata a: protocollo@pec.gpdp.it

Testi: Sandro MAURO (RPD/DPO WeCa)