Il 25 maggio 2016 è entrato in vigore il Regolamento Europeo Privacy UE/2016/679 c.d. GDPR (General Data Protection Regulation) che stabilisce le nuove norme in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché le norme relative alla libera circolazione di tali dati.
Il summenzionato Regolamento è direttamente applicabile in ciascuno degli Stati membri dell’Unione Europea ed in Italia è entrato in vigore il 25 maggio 2018;
Con il Regolamento Europeo Privacy UE/2016/679 viene recepito nel nostro ordinamento giuridico il “principio di accountability” (obbligo di rendicontazione) che impone alle Pubbliche Amministrazioni titolari del trattamento dei dati:
- di dimostrare di avere adottato le misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche;
- che i trattamenti siano conformi ai principi e alle disposizioni del Regolamento, prevedendo, altresì, l’obbligo del titolare o del responsabile del trattamento della tenuta di apposito registro delle attività di trattamento, compresa la descrizione circa l’efficacia delle misure di sicurezza adottate;
- che il registro di cui al punto precedente, da tenersi in forma scritta - o anche in formato elettronico - deve contenere una descrizione generale delle misure di sicurezza tecniche e organizzative e che, su richiesta, il titolare del trattamento o il responsabile del trattamento sono tenuti a mettere il registro a disposizione dell’autorità di controllo;
Il Regolamento Europeo Privacy UE/2016/679 ha disciplinato la nuova figura del “Data Protction Officer” (DPO), responsabile della protezione dei dati personali - che le pubbliche amministrazioni hanno l’obbligo di nominare al proprio interno ovvero mediante ricorso a soggetti esterni all'Ente, in base ad un contratto di servizi - con il compito di consulenza e verifica sugli adempimenti in materia di privacy.