GDPR: manca il decreto ministeriale

di Barbara Weisz

scritto il

Entro il 21 maggio il Governo deve approvare in via definitiva il decreto che armonizza le leggi italiane al nuovo Regolamento europeo sulla Privacy: cosa resta e cosa cambia con il GDPR.

Conto alla rovescia per l’entrata in vigore del GDPR, il nuovo Regolamento europeo sulla protezione dei dati personali, operativo dal prossimo 25 maggio. L’iter prevede un ultimo tassello, ovvero l’approvazione definitiva del decreto di coordinamento con la normativa europea. Si tratta di un provvedimento approvato in via preliminare dal Consiglio dei Ministri il 21 marzo, in applicazione dell‘articolo 13 della legge di delegazione europea 2016-2017 (legge 163/2017). Si tratta, sostanzialmente, della norma che disciplina l’attuazione in Italia del GDPR e la cui approvazione definitiva è prevista entro il 21 maggio.

Fra i capitoli più attesi del Dlgs – che va approvato entro il 21 maggio – c’è quello relativo alle sanzioni, in particolare alla eventuale rimodulazione fra sanzioni penali e amministrative.

Poi, dal 25 maggio la General Data Protection Regulation prenderà sostanzialmente il posto dell’attuale Codice Privacy. E fra le disposizioni più importanti ricordiamo quelle relative all’accountability (che fissa regole per il titolare ed il responsabile del trattamento) e alla gestione del rischio, che prevede precisi obblighi di analisi e di valutazione.

Sul fronte della gestione del rischio segnaliamo la recente Guida del Garante Privacy, che offre una lunga serie di strumenti utili per adeguarsi alle nuove normative. Per quanto concerne invece gli obblighi del DPO (RPD in Italia, ossia Responsabile della protezione dati) – «tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche» – ricordiamo che quyesta figura è chiamata a mettere in atto:

misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.

Dette misure sono riesaminate e aggiornate qualora necessario.