È stato pubblicato sulla Gazzetta Ufficiale il DLgs. 10 agosto 2018 n. 101, che, modificando il Codice della privacy di cui al DLgs. 196/2003, adegua la normativa nazionale al Regolamento Ue 679/2016 (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il DLgs. 101/2018, in vigore dal 19 settembre 2018, modifica il vigente Codice della privacy, intervenendo sulla maggior parte delle norme che sono risultate incompatibili con quelle del Regolamento, mediante la loro abrogazione; al loro posto, trovano attuazione le disposizioni del Regolamento, comunque già direttamente applicabili dallo scorso 25 maggio. Al contempo, per evitare duplicazioni, l’abrogazione ha riguardato anche le disposizioni del Codice della privacy concernenti materie già disciplinate dal Regolamento stesso.
Infine, il Codice della privacy è stato modificato rispetto a quelle norme del Regolamento non direttamente applicabili e che lasciano spazio di intervento agli Stati membri.
Allo stato vigente, dunque, coesistono principalmente due fonti normative in materia di privacy: da un lato, vi è il GDPR e, dall’altro, il Codice della privacy, sul quale ha inciso, come sopra indicato, il legislatore con il DLgs. 101/2018.
In sintesi, fra i principali adempimenti posti in capo al titolare del trattamento vi sono l’obbligo generale di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato in maniera conforme al Regolamento, con successivo riesame e aggiornamento (art. 24, par. 1 del Regolamento). Il titolare del trattamento è tenuto a predisporre un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30 del Regolamento), contenente, fra le altre informazioni, le finalità del trattamento e una descrizione delle categorie di interessati e delle categorie di dati personali. Il registro va tenuto in forma scritta, anche in formato elettronico.
Un altro adempimento posto in capo al titolare del trattamento è quello relativo alla predisposizione di una DPIA, cioè una valutazione di impatto sulla protezione dei dati personali (art. 35 del Regolamento), nei casi in cui, in linea generale, il trattamento – considerato alla luce della natura, dell’oggetto, del contesto e delle libertà delle persone fisiche – presenti rischi elevati per i diritti e le libertà delle persone, in particolare nel caso di uso di nuove tecnologie.
Infine, un altro importante adempimento è quello relativo alla nomina del responsabile del trattamento (soggetti esterni che trattano dati per conto del titolare) e del responsabile della protezione dei dati personali (RPD o data protection officer, DPO, artt. 37-39), obbligatoria quest’ultima per i soggetti privati solo qualora le attività principali consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, in trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.