Il 25 maggio 2018 diventerà pienamente operativo il Regolamento europeo 2016/679 in materia di protezione dei dati personali, approvato il 27 aprile 2016 e pubblicato sulla Gazzetta Ufficiale il successivo 4 maggio. Il Regolamento, in sostanza, sostituirà il D.Lgs. n. 196/2003 che attualmente disciplina la materia nel nostro Paese. Tra le principali novità si annovera l’introduzione del principio di “responsabilizzazione” (“accountability”) che attribuisce direttamente al Titolare del trattamento (inteso anche come persona giuridica) il compito di decidere autonomamente le modalità, le garanzie ed i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative ed alla luce di alcuni criteri specifici indicati nel Regolamento stesso. Tra questi il primo è riassunto nell’espressione “data protection by default by design”, intesa come l’esigenza di adottare le necessarie garanzie “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati. Questa operazione deve però essere effettuata prima di procedere con il trattamento dei dati e richiede lo svolgimento da parte del Titolare di una serie di specifiche attività, che debbono oltretutto essere dimostrabili. Ed è proprio qui che si innesca la valutazione d’impatto (“Privacy Impact Assesment”) che il trattamento può avere sulla protezione dei dati personali, altra novità introdotta dal Regolamento. In particolare essa consente di stabilire la probabilità e la gravità del rischio per i diritti e le liberta degli interessati, tenuto conto della natura, dell’ambito di applicazione, del contesto, delle finalità del trattamento e delle fonti di rischio. Ed è all’esito della valutazione d’impatto che il Titolare del trattamento potrà, in piena autonomia, decidere se iniziare il trattamento oppure rivolgersi all’Autorità di controllo (nel nostro caso il Garante Privacy) affinché fornisca indicazioni circa la gestione del rischio residuale. Pertanto l’intervento del Garante Privacy, dal 25 maggio 2018, sarà “ex post”, avvenendo successivamente alle determinazioni assunte in via autonoma dal Titolare. Novità ulteriore è la tenuta obbligatoria per le imprese con più di 250 dipendenti (salvo casi eccezionali), di un Registro delle attività di trattamento in forma scritta, anche in formato elettronico. Il Regolamento introduce, altresì, la figura del Responsabile della protezione dei dati (“RDP” o “DPO”), designata dal Titolare o dal Responsabile del trattamento ogni qualvolta, tra le altre, le attività principali “consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”. Non da ultimo il Regolamento ha innalzato l’ammontare delle sanzioni pecuniarie in caso di violazione delle norme in esso contenute che possono arrivare fino a 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, lasciando, peraltro, a ciascun Stato membro la possibilità di adottare, entro il prossimo 25 maggio, altre sanzioni per le violazioni dello stesso.