La Commissione nazionale paritetica per le Casse Edili, con una nota del 3 novembre 2017, ha fornito rilevanti indicazioni in merito all’applicazione del nuovo Regolamento (UE) 2016/679 (RGPD), facendo seguito alla guida del Garante della Privacy.

Dal 25 maggio 2018, infatti, tutti i soggetti residenti negli Stati membri e contemplati dalla normativa, ovvero quelli che effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili), sono tenuti a rispettare il nuovo Regolamento che abroga la precedente Direttiva 95/46/CE.

Il nuovo Regolamento introduce numerose novità come: il diritto alla portabilità dei dati, il diritto all'oblio (riconosciuto fino ad ora solo a livello giurisprudenziale), il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati sui dati e di controllare gli stessi, il diritto di essere informato sulle violazioni dei propri dati personali ("data breach", notificazione di una violazione di dati). Resta inteso che non dovrà essere richiesto un nuovo consenso laddove quello precedentemente raccolto risponda ai requisiti della nuova normativa.

La nota pone particolare attenzione alla figura del Responsabile della protezione dei dati (RPD-DPO), nominata dal titolare/dal responsabile del trattamento. Il RPD è chiamato a facilitare l'applicazione della normativa anche se non è considerato personalmente responsabile in caso di inosservanza degli obblighi in materia di protezione dei dati che restano in capo al titolare/responsabile del trattamento. Al titolare del trattamento è affidato il compito di effettuare una valutazione di impatto sulla protezione dei dati che deve avvenire sia preventivamente che nel corso del trattamento. Il titolare del trattamento può chiedere l'assistenza del RDP affinché gli fornisca un "parere, in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'art. 35". Il responsabile della protezione dei dati deve essere in possesso di specifici requisiti e potrà essere nominato sia internamente che esternamente all'ente e sarà tenuto a presiedere i profili privacy, cooperando con l'Autorità Garante e riferire direttamente al vertice gerarchico del titolare del trattamento. Relativamente all'obbligo della tenuta del registro delle attività di trattamento, lo stesso non è previsto per le organizzazioni con meno di 250 dipendenti anche se, considerata la natura sensibile dei dati trattati dalle Casse Edili, non si esclude che l'obbligo possa gravare sulle stesse.