REGOLAMENTO UE N. 2016/679: LA PRIVACY SECONDO IL NUOVO REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI

EU_Data_Privacy_Laws

Lo scorso 5 maggio è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 679/2016, intitolato “Regolamento Generale sulla Protezione dei Dati”, che entra in vigore oggi, ma diverrà applicabile in via diretta in tutti i Paesi della UE solo a partire dal 25 maggio 2018.

Gli Stati membri, dunque, hanno facoltà di armonizzare la disciplina interna con il predetto Regolamento entro i prossimi due anni, in caso contrario questo sarà comunque direttamente applicabile in ciascuno degli Stati membri.

Tale Regolamento – unitamente alla Direttiva EU n. 680/2016, relativa alla prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione dei dati personali – costituisce il c.d. “Pacchetto protezione dati”, ovvero l’insieme delle norme in materia di tutela dei dati personali, comuni per tutti gli Stati membri dell’UE.

Tra le varie novità del regolamento n. 679, si segnala – sotto il profilo giuslavoristico e dell’organizzazione aziendale – l’introduzione di: (i) nuovi obblighi e modalità di trattamento dei dati, (ii) una nuova figura aziendale, il responsabile della protezione dei dati personali, c.d. Data Protection Officer e (iii) una disciplina specifica sul trattamento dei dati nell’ambito dei rapporti di lavoro.

In particolare, l’art. 30 del Regolamento, introduce l’obbligo di un “registro delle attività di trattamento” dei dati, svolte all’interno dell’azienda, dove dovranno essere annotati alcuni dati – specificatamente indicati – tra i quali, nome e dati del titolare del trattamento, del responsabile del trattamento e relative finalità. Tale obbligo, tuttavia, non si applica, in via generale, alle imprese o organizzazioni con meno di 250 dipendenti.

Nei successivi artt. 37 e ss., poi, si stabilisce che all’interno di un’azienda dovrà essere designato un responsabile della protezione dei dati, c.d. Data Protection Officer, a prescindere dalla grandezza o dal numero dei dipendenti, ogniqualvolta: a) il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.

Il responsabile della protezione dei dati potrà essere un dipendente o un soggetto che adempia all’incarico “in base ad un contratto di servizi”, il quale non potrà ricevere alcuna istruzione per l’adempimento dei propri compiti e dovrà relazionarsi direttamente al vertice gerarchico della società.

Un gruppo imprenditoriale, tuttavia, può nominare anche solo un unico responsabile della protezione dei dati, a condizione che tale soggetto sia facilmente raggiungibile da ciascuno stabilimento.

Per quanto riguarda i compiti affidati al responsabile del trattamento dei dati, l’art. 39 del Regolamento prevede che si occupi di:

a) informare e fornire consulenza al titolare o responsabile del trattamento ed ai dipendenti, in merito alle disposizioni del Regolamento, nonché di altre disposizioni dell’Unione o del singolo Stato Membro inerenti il trattamento dei dati;

b) sorvegliare l’osservanza del Regolamento e delle altre disposizioni normative;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne l’esecuzione;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.

Infine, il Regolamento prevede ulteriori disposizioni inerenti al trattamento dei dati nell’ambito dei rapporti di lavoro – oggi regolato, oltre che dal D.Lgs. n. 196/2003, dalla deliberazione n. 53 del 23.11.2006 del Garante della Privacy, avente ad oggetto Linee guida in materia di trattamento dei dati personali dei lavoratori – introducendo la possibilità per il legislatore nazionale e le parti sociali di introdurre norme più specifiche.

Nel dettaglio, l’art. 88 demanda alla legge o ai contratti collettivi – ivi compresi gli “accordi aziendali” – la possibilità di prevedere con riguardo al trattamento dei dati dei dipendenti nell’ambito dei rapporti di lavoro, norme più specifiche dirette ad assicurare la protezione dei diritti e delle libertà, per tutte le finalità connesse al rapporto di lavoro, tra cui assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro. Tali norme, tuttavia, devono altresì includere misure appropriate per la salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati.

Dall’analisi del Regolamento appare chiaro l’intento del legislatore europeo di creare un impianto normativo in materia di protezione dei dati certo ed uguale per tutti gli Stati membri, pur nella consapevolezza dell’evoluzione e del continuo cambiamento dei problemi ad essa connessi.

Dal punto di vista giuslavoristico di particolare rilievo è la possibilità riconosciuta alla contrattazione collettiva – anche attraverso accordi aziendali – di prevedere, nell’ambito dei rapporti di lavoro, delle norme specifiche ai fini della protezione dei diritti e delle libertà dei dati personali dei lavoratori dipendenti.

Carmine Di Mambro