E’ entrato in vigore il 19 settembre scorso il D.Lgs. 101/2018 (GU n. 2015) che adegua il Codice in materia di protezione dei dati personali (D.Lgs. 196/2013) alle disposizioni del Regolamento UE 679/2016, il cosiddetto GDPR (General Data Protection Regulation) applicato nell’Unione Europea dal 25 maggio scorso.
Oggetto della nuova normativa, la protezione dei dati delle persone fisiche e le regole per il loro trattamento da parte di soggetti terzi. In particolare, per attività come raccolta, conservazione, uso, modifica e diffusione dei dati personali, sono definite le modalità ammesse, i ruoli, le responsabilità e le sanzioni, e identificate le autorità di controllo e le garanzie dei sistemi di protezione.
Rispetto al GDPR, che “incoraggia” l’istituzione di meccanismi di certificazione della protezione dei dati (art. 42) senza specificare in capo a chi risieda la responsabilità del loro accreditamento (art. 43), tra l’Ente nazionale di accreditamento, designato ai sensi del Regolamento CE 765/2008 (in Italia Accredia) e l’Autorità di controllo competente per lo Stato membro (in Italia il Garante per la protezione dei dati personali), il Decreto fornisce un chiarimento, molto atteso.
Le certificazioni volontarie dei sistemi di protezione dei dati dovranno essere rilasciate da organismi di valutazione della conformità accreditati da Accredia mentre il Garante della privacy potrà accreditare solo se deciderà di riservarsi alcune materie o qualora l’Ente di accreditamento risulti inadempiente.
Tra le modifiche apportate al Codice Privacy del 2013, si segnala infine un’importante affermazione di principio, il cui scopo è il contenimento dei conflitti tra la normativa italiana e quella europea: all’art. 2 del D.Lgs. 101, infatti, si afferma che il provvedimento adegua la normativa nazionale al Regolamento UE, cui vanno ricondotte eventuali interpretazioni della normativa nazionale.