Il Regolamento

La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale, riconosciuto nella Carta dei Diritti fondamentali dell’Unione Europea.

[ Per la definizione di “Dato Personale” e “Trattamento”, si rinvia alla sezione DATI PERSONALI ]

Il Parlamento Europeo ed il Consiglio dell’Unione Europea, dopo discussioni approfondite, hanno varato il 27 aprile 2016 il nuovo “Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati” (Reg. UE 2016/679), che va ad abrogare la Direttiva 95/46/CE, applicata anche nel nostro Paese e recepita attraverso il Decreto Legislativo 196 del 2003 (c.d. “Codice Privacy”).

Il Reg. UE, in vigore dal 24 maggio 2016, è direttamente applicabile in Italia, così come in tutti i Paesi UE, dal 25 maggio 2018, e ciascuna delle istituzioni in cui si effettuano trattamenti di dati personali (DP) deve applicare le norme in esso contenute, che riguardano non solo i necessari adempimenti formali ma anche la diffusione e la consapevolezza della cultura della protezione dei dati e della responsabilizzazione di chi tali dati tratta.

Anche se il Reg. UE si pone in continuità con le norme precedenti, esso introduce rilevanti novità, ad iniziare dal principio dell’accountability (responsabilità) che attribuisce direttamente al Titolare del trattamento dei DP il compito di assicurare ed essere in grado di comprovare, il rispetto dei principi sui DP.

[ Il Titolare dei Trattamenti di DP per l’ISS è il suo Legale Rappresentante, il Presidente]

In quest’ottica, la nuova disciplina ha imposto alle amministrazioni un diverso approccio nel trattamento dei DP, previsto nuovi adempimenti e richiesto un’intensa attività di adeguamento, preliminare alla definitiva applicazione (dal 25 maggio 2018).

Il Garante per la Protezione dei Dati Personali italiano ha avviato dalla metà del 2017 una serie di incontri con le Pubbliche Amministrazioni (PA), che sono produttrici e fornitrici importanti di trattamenti dei dati, per dare indicazioni relative all’applicazione del nuovo Regolamento, indicando tre priorità, di seguito indicate.

L’ISS è stato inserito fin dal suo avvio in tale processo, per arrivare alla scadenza del maggio 2018 con tutta una serie di attività attuate, da approfondire ed ampliare nel prosieguo dell’adozione, da parte del Legislatore Nazionale, di norme applicative specifiche.

1) Nomina DPO

E’ stato attuato nei tempi previsti il primo degli adempimenti del Reg. UE, la nomina della figura di Responsabile per la Protezione dei Dati (RPD), denominato d’ora in poi con l’acronimo inglese DPO (Data Protection Officer), soggetto di riferimento per la promozione della cultura della protezione dati e per il rispetto delle norme all’interno dell’istituzione, che contribuisce a dare attuazione al Regolamento, essendo di ausilio al Titolare dei trattamenti personali.

[Per approfondimenti sul DPO, consultare l’apposita sezione]

2) Elaborazione del “Registro dei Trattamenti”

Il secondo fondamentale adempimento ha riguardato l’elaborazione del “Registro dei Trattamenti” che contiene, per ciascun trattamento di DP, le informazioni selezionate sulla base del principio della parsimonia informativa e che verrà dinamicamente aggiornato. In particolare, il Reg. UE richiede per ciascun trattamento: il titolare, le finalità, una descrizione dei soggetti a cui i dati si riferiscono e dei dati raccolti, i destinatari a cui è prevista l’eventuale comunicazione dei dati, compresi gli Organismi Internazionali, i termini per eventuali cancellazioni, una descrizione generale delle misure di sicurezza.

Il Registro va mantenuto sia in forma cartacea che elettronica e, su richiesta, esso deve essere messo a disposizione dell’Autorità di Controllo (il Garante per la Protezione dei DP).

Il Registro va a sostituire la notifica dei trattamenti al Garante.

[Per approfondimenti sul Registro dei Trattamenti, consultare l’apposita sezione]

3) Istituzione di un meccanismo di notifica della violazione dei DP (c.d. “data breach”)

La terza priorità indicata dal Garante è l’istituzione di un meccanismo di rilevazione e tempestiva notifica al Garante stesso di eventuali episodi di data breach: il titolare del trattamento deve dunque mettere in atto le misure tecniche ed organizzative adeguate alla protezione dei DP, nonché definire procedure per segnalare eventuali violazioni dei DP.

[Per approfondimenti sulle misure di Sicurezza, consultare l’apposita sezione]

Considerazione finale

L’impostazione che in ISS si intende dare all’applicazione del Reg. UE non è quella di un mero adempimento burocratico, ma piuttosto di introiettare la cultura della salvaguardia dei diritti delle persone nonché del modo di operare sui DP in modo trasparente e corretto, perseguendo al meglio il fine di contribuire alla tutela della salute pubblica.

Commenti chiusi