Il nuovo Regolamento europeo per la protezione dei dati

Lo scorso 15 dicembre è stato approvato il nuovo Regolamento europeo sulla protezione dei dati da parte del Parlamento, della Commissione  e del Consiglio europeo.

In data 14 aprile 2016 l ‘assemblea plenaria del Parlamento Europeo ha adottato in seconda lettura i testi del Regolamento europeo e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Con questo passaggio si conclude un iter legislativo durato oltre 4 anni.

Entro due anni il Regolamento privacy sarà applicabile direttamente in tutti i Paesi UE e gli Stati dovranno aver recepito la Direttiva sulla protezione dei dati nelle attività di polizia e giustizia

La Direttiva, che è il secondo elemento del pacchetto approvato, stabilisce, per la prima volta, norme comuni per il trattamento dei dati a fini giudiziari e di polizia all’interno di tutti gli Stati membri. Obiettivo della Direttiva è quello di innalzare le garanzie per la privacy dei cittadini quanto interviene un trattamento dati per motivi giudiziari e di polizia, ma anche facilitare notevolmente lo scambio e l’uso delle informazioni utili per il contrasto a fenomeni come criminalità e terrorismo.

Dopo che il Consiglio Ue avrà preso atto formalmente dell’approvazione del pacchetto da parte del Parlamento, si avrà la pubblicazione dei testi nella Gazzetta Ufficiale dell’Unione Europea (GUUE), verosimilmente entro la fine di giugno. Il Regolamento entrerà in vigore 20 giorni dopo la pubblicazione nella GUUE e, dopo due anni, le sue disposizioni saranno direttamente applicabili in tutta l’Unione europea. Gli Stati membri avranno due anni per recepire le disposizioni della direttiva nel diritto nazionale con apposite norme.

Il regolamento dell’Unione Europea sulla protezione dei dati prenderà il posto del nostro Codice della Privacy (Dlgs 196/2003), che a sua volta discendeva dalla Direttiva Madre 95/46/CE.

Ricordiamo che, a differenza della Direttiva, che normativamente vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in merito alla forma e ai mezzi, il Regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri quindi non necessita di alcun atto di recepimento o di attuazione.

Pertanto a breve inizierà il periodo dei due anni di tempo che aziende pubbliche e private avranno per adeguarsi al Regolamento.

Le aziende che si faranno trovare impreparate, questa volta dovranno fare i conti con sanzioni salatissime che potranno arrivare a 20 milioni di euro o al 4% del fatturato globale.

Oltre al nuovo regime sanzionatorio, una delle novità più importanti riguarda il principio dell’applicazione del diritto UE ai trattamenti di dati personali anche se non svolti all’interno del territorio dell’Unione Europea, ma comunque relativi a beni o servizi prestati a cittadini residenti nella UE. Pertanto, se si acquisteranno prodotti online da un sito web di un’azienda che ha sede negli USA, anche questa azienda dovrà adeguarsi alla nostra normativa comunitaria.

Altra novità è la portabilità dei dati. Ad esempio nel caso di necessità di trasferire i propri dati personali da un social network ad un altro, l’interessato avrà diritto di poterli esportare in modo agevole. L’interessato potrà godere anche del cosiddetto diritto all’oblio, cioè la facoltà di decidere quali informazioni cancellare per evitare che continuino a circolare in rete.

Tra i diritti riconosciuti all’interessato, ci sarà poi una semplicità di accesso alle proprie informazioni, per conoscere quali dati sono trattati da un’impresa o da una pubblica amministrazione e per quali finalità. Le nuove regole consentiranno però di addebitare un contributo economico a coloro che dovessero rivolgere richieste di accesso ai dati manifestamente infondate o eccessive.

In termine di semplificazione, viene eliminato l’obbligo per i titolari di notificare al Garante determinati trattamenti di dati personali (come ad esempio quelli relativi alla geolocalizzazione o alla profilazione degli utenti, ma viene anche introdotto il concetto di “Data Breach“: ossia in caso di attacco al proprio sistema informativo e di perdite di dati o accesso da parte di soggetti non autorizzati, i titolari di trattamento dovranno avvisare l’autorità di controllo entro 72 ore, e nei casi più gravi dovranno avvisare anche lo stesso interessato.

Viene introdotto anche il principio generale della “privacy by design“, ossia bisognerà prevedere misure di protezione dei dati già al momento della progettazione di un prodotto. Questo comporterà la responsabilità in capo al fornitore nel caso il cliente finale subisca un danno in materia di dati personali a causa della non conformità del prodotto alla normativa in materia di privacy.

Importante è anche l’introduzione dell’ “one-stop-shop“, meccanismo che permetterà alle multinazionali di avere a che fare solo con l’Autorità Garante dello Stato in cui ha sede il proprio stabilimento principale in Europa, con il fine di ottenere dalla stessa decisioni poi applicabili a tutto il resto del territorio dell’Unione. Questo dovrebbe ridurre i costi di gestione per la risoluzione delle controversie.

Fondamentale sarà il principio di “accountability“: ai titolari del trattamento nel settore pubblico e privato sarà richiesto non solo di rispettare formalmente le norme, e quindi di fare una check-list degli adempimenti minimi, ma anche di tradurre in pratica questi princìpi diventando proattivi. Per non essere sanzionati, si dovrà quindi essere in grado di dimostrare di aver distribuito responsabilità al proprio interno, di essere organizzati per avere una risposta ai vari problemi, di aver valutato i rischi e le possibili conseguenze, e quindi di avere messo a punto specifiche procedure nei confronti dei soggetti cui si riferiscono le informazioni.

Nasce la figura del cosiddetto “Privacy Officer“, che dovrà essere designato da tutte le pubbliche amministrazioni e da quelle aziende le cui attività comportano trattamenti di dati sensibili su larga scala, o che per la loro natura implicano un monitoraggio regolare e sistematico degli interessati, come nel caso della profilazione degli utenti.

Infine ci sarà l’obbligo della valutazione di impatto privacy di ogni trattamento effettuato (privacy impact assessment), che comporterà la produzione della relativa documentazione sulle misure adottate per la tutela dei dati. Le PMI saranno però esentate da questo adempimento, a meno che non vi sia un rischio elevato.

 

Alavie è il partner ideale per la consulenza e la gestione privacy per aziende nazionali ed internazionali. Contattaci per ricevere tutte le informazioni.