A partire dal 25 maggio prossimo entrerà in vigore la nuova disciplina sulla protezione dei dati personali (Regolamento UE n°679/2016), noto anche come “GDPR ,General Data Protection Regulation”
Numerose le novità introdotte dal Regolamento, che impattano anche sulla Confagricoltura, sulle sue declinazioni territoriali, in quanto titolari del trattamento dei dati dei propri associati e dei propri dipendenti, e sulle imprese associate, a loro volta titolari del trattamento per dipendenti e fornitori.

Ecco i principali cambiamenti rispetto alla normativa precedente. Innanzitutto l’approccio al tema, che pone l’accento sulla responsabilizzazione (accountability) del titolare dei trattamento dati, che è invitato a prendere in maniera proattiva provvedimenti preventivi al fine di tutelare i dati e ridurre il rischio di infrazioni o di un uso scorretto di questi. Questo approccio va di pari passo con il criterio basato sul rischio (risk based approach) che traduce in termini concreti il concetto di responsabilizzazione dei titolari: non ci sono più quindi misure minime da adottare obbligatoriamente, ma il titolare del trattamento deve definire gli interventi necessari per prevenire qualsiasi rischio.

E’ contemplato un trattamento ab initio (data protection “by design”), ovvero garanzie prese e previste fin dal momento della progettazione, prima ancora di procedere al trattamento vero e proprio. E sono previste anche impostazioni predefinite di misure tecniche e organizzative che garantiscano che vengano trattati solo i dati necessari (data protection “by default”), ovvero il c.d. minimo trattamento necessario. Conseguenziale a tale importazione è la redazione di una valutazione di impatto che il titolare dovrà effettuare. A tal proposito sul sito del Garante della privacy è disponibile e scaricabile un software utile per tale adempimento.
 
Sebbene non ci sia un obbligo formale di tenuta di un Registro delle attività di trattamento (salvo che in alcuni casi legati alle dimensioni dell’impresa o dell’organizzazione) è fortemente consigliato tenere un Registro di tali attività, per una gestione quanto più corretta possibile.
 
E’ previsto nella nuova disciplina l’obbligo di notificare tutte le eventuali violazioni di dati personali (data breaches) e come si è intervenuti per risolverle.
In alcuni casi è obbligatoria (fra l’altro, nel caso di Organismi pubblici o Autorità), la designazione di un Responsabile della Protezione dei Dati (RPD o secondo l’acronimo inglese DPO, Data Protection Officer), il cui nominativo va segnalato al Garante. Tale importante figura svolge funzioni di controllo, informazione, formazione e supporto.
 
Per quanto riguarda i soggetti coinvolti dalla disciplina, ovvero gli interessati, vengono ampliati i loro diritti, ai quali si aggiungono il diritto di accesso, il diritto alla cancellazione dei dati, il diritto di limitazione al trattamento (sospensione temporanea in attesa di risoluzione di una contestazione), il diritto alla portabilità dei dati (che devono quindi poter essere forniti su un supporto che l’interessato può “prelevare”) ed il diritto al risarcimento, in caso di danni causati da una violazione del regolamento.
 
In caso di violazioni dei dati il nuovo Regolamento prevede sanzioni più aspre rispetto al passato.
 
Confagricoltura sta predisponendo le verifiche necessarie a regolarizzare in base alle nuove disposizioni i trattamenti dei dati che vengono effettuati nell’esecuzione dei suoi scopi istituzionali, coadiuvando in tal senso anche le proprie articolazioni territoriali e le imprese agricole associate.
 
Particolarmente delicato il passaggio dalla disciplina normativa attualmente in vigore (di cui al Codice della Privacy, contenuto nel D.Lgs. n. 196/2003) alle norme del legislatore comunitario, passaggio che sarà regolamentato da un decreto legislativo attuativo della delega contenuta nella legge 163/2017, attualmente ancora in via di approvazione.