Il 25 maggio 2018 è entrato in vigore il Regolamento UE n. 2016/679, meglio noto come GDPR (General Data Protection Regulation).
In quale quadro normativo è andato ad inserirsi tale regolamento?
- Il 24 ottobre 1995, con la direttiva n.95/46/CE, il Parlamento Europeo ed il Consiglio Europeo emanavano la prima normativa relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati.
- Tale direttiva è stata recepita in Italia con la Legge 31 dicembre 1996, n.675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” e successivamente il legislatore nazionale è intervenuto con il Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”.
- Fino ad arrivare al 2016 quando il Parlamento Europeo ha emesso il Regolamento UE n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che ha quondi abrogato la direttiva 95/46/CE e a cui fanno riferimento tutti gli stati membri dell’Unione Europea.
La “novità” del Regolamento
Andando ad analizzare la portata innovativa del nuovo Regolamento appare subito evidente che viene posto alla base del trattamento dei dati un comportamento di “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili, sull’adozione di comportamenti finalizzati a garantire l’applicazione del regolamento. Si tratta pertanto di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Considerata l’importanza e la portata del Regolamento GDPR, è utile mettere in evidenza alcuni dei passaggi più importanti per il settore fitness e sportivo più in generale, sui quali sarà possibile prevedere ulteriori approfondimenti:
- Ogni trattamento deve fondarsi sul rispetto dei principi fissati agli articoli 5 e 6 e garantire agli interessati tutti i diritti previsti dagli articoli da 13 a 22 del Regolamento (si rimanda alla lettura del Regolamento);
- Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche ed organizzative (anche di sicurezza) necessarie per mitigare tali rischi;
- Occorre redigere un registro dei trattamenti, considerato uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere;
- Il titolare ed il responsabile del trattamento dei dati sono obbligati ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento;
- La nomina, in vari casi obbligatoria, di un soggetto responsabile per la protezione dei dati, scelta che riflette l’approccio responsabilizzante del regolamento.
A conclusione evidenziamo che in questi primi mesi di vita del Regolamento sono già sorte problematiche applicative, molto spesso legate a:
– Scarsa attenzione da parte dei titolari del trattamento;
– Scarsa conoscenza della materia, seppure in forte evoluzione.
Sicuramente nei prossimi mesi sentiremo sempre più parlare dell’argomento, e farsi trovare pronti ad eventuali controlli promossi dall’autorità competente, risulterà necessario per tutti coloro che trattano dati di altri soggetti.