Condividi su

Normative: Privacy

06/09/2013
PRIVACY - Legge Privacy (D. Lgs. 196/2003): in arrivo le novità della Commissione Europea

A cura del Dottore Juri Torreggiani, Consulente privacy

In arrivo la normativa Ue sulla protezione dei dati personali

A distanza di oltre un anno da quando la Commissione Europea ha presentato ufficialmente le prime proposte relative al quadro giuridico europeo in materia di protezione dei dati personali (c.d. “Privacy”), le novità normative dovrebbero a breve entrare in vigore, presumibilmente nell’arco di pochi mesi. 

Si ritiene quindi utile, alla luce anche dei numerosi quesiti pervenuti, riepilogare di seguito i principali contenuti previsti dal legislatore. 

Si ricorda anzitutto che sono stati presentati un Regolamento che andrà a sostituire la Direttiva 95/46/CE  e una Direttiva che dovrà disciplinare particolari trattamenti di dati.

È importante sottolineare fin d’ora che i Regolamenti Ue, a differenza delle Direttive, una volta approvati sono immediatamente esecutivi, non necessitando di recepimento da parte dei singoli stati membri. 

Per tale motivo il Regolamento dovrà garantire, oltre ad una maggiore protezione dei dati, anche una maggiore armonizzazione normativa a livello dell’intera Ue. 

 

I principali contenuti del Regolamento Ue

Elenchiamo quindi in estrema sintesi, alcune tra le maggiori novità ed obblighi della proposta di Regolamento:

- sono individuate nuove fondamentali definizioni di legge (es. dato genetico, dato biometrico);

- è introdotto il requisito del “privacy impact assessment”, ossia la necessità di effettuare una valutazione dell’impatto-privacy all’interno dell’azienda, adottando dei “Modelli organizzativi” idonei a tutelare i dati; 

- è sancito il principio generale denominato “privacy by design”, cioè la necessità di prevedere misure a protezione dei dati, già al momento della progettazione di un prodotto o servizio;

- è introdotto l’obbligo di nominare all’interno dell’azienda un “data protection officer” (incaricato della protezione dati, secondo la terminologia della Direttiva 95/46), per tutte le aziende pubbliche e per le aziende private aventi un certo numero di dipendenti;

- è enormemente maggiorato l’importo delle sanzioni che potranno arrivare fino ad un milione di euro o al 2% del fatturato annuale dell’impresa;

- si stabilisce l’obbligo per l’azienda di notificare all’Autorità competente le violazioni dei dati personali avvenute al proprio interno (es. accessi abusivi, usi non consentiti), entro il termine di 24 ore dalla scoperta della violazione;

- si riconosce il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un titolare ad un altro);

- si riconosce il “diritto all’oblio”, ossia la possibilità per l’interessato di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge);

- viene introdotto il principio dell’applicazione del diritto Ue anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini Ue o tali da consentire il monitoraggio dei comportamenti di cittadini Ue.

 

I principali contenuti della Direttiva Ue

Per ciò che concerne invece la proposta di Direttiva, essa sostituirà, una volta adottata, la Decisione-Quadro (la 2008/977/GAI), attualmente in vigore, la quale disciplina i  trattamenti di dati da parte delle autorità giudiziarie e di polizia. 

La Direttiva riprende l’impostazione del Regolamento che richiama in molte delle sue previsioni, a cominciare dalle definizioni di interessato, dato personale, trattamento, titolare del trattamento, ecc.. Essa  contiene, tuttavia, disposizioni specifiche sulle responsabilità dei titolari e sugli obblighi che su di essi incombono in materia di trasparenza e accesso, fissando anche criteri di legittimità dei trattamenti in oggetto, nonché i meccanismi di mutua cooperazione e i poteri delle autorità nazionali di controllo. Come già ricordato, le sue disposizioni dovranno essere recepite attraverso apposite norme nazionali.

 

I nuovi Modelli Organizzativi

Come noto, in controtendenza rispetto a quanto espresso dalla Commissione Europea e in attesa dell’approvazione del Regolamento Ue, il legislatore italiano ha prima d’ora  “congelato” l’obbligo di stesura del Documento Programmatico sulla Sicurezza (Dps), il quale verrà sostituito dai sopra citati “Modelli Organizzativi”.

In merito al contenuto minimo obbligatorio di tali nuovi Modelli Organizzativi non si sa ancora molto, ma certamente dovranno essere idonei a tutelare i dati nell’interesse dell’azienda e nell’interesse dei terzi a cui i dati si riferiscono (dipendenti, clienti, fornitori, ecc.). 

Con ogni probabilità comunque, in essi dovrà essere data evidenza della corretta introduzione e applicazione degli obblighi già a oggi vigenti e di quelli che verranno introdotti dal legislatore comunitario.

 

Obblighi già vigenti

È importante ricordare quali sono ad oggi i principali obblighi già vigenti per la corretta gestione e protezione dei dati personali all’interno dell’azienda.

È necessario, a titolo puramente esemplificativo e non esaustivo:

- applicare le misure di sicurezza informatica agli apparati hardware e software;

- assolvere a quanto previsto dal nuovo Provvedimento sugli Amministratori di Sistema;

- redigere idonee Informative ai sensi dell’art. 13 del D. Lgs. 196/2003: informative ai dipendenti e collaboratori, informative ai clienti, fornitori, potenziali clienti, terzi in genere, informative per utenti del sito web aziendale, informativa per i candidati all’assunzione, ecc.;

- raccogliere i consensi dagli interessati, quando necessario;

- nominare gli incaricati autorizzati al trattamento dei dati personali; 

- redigere il disciplinare interno per il corretto utilizzo di internet e posta elettronica da parte dei dipendenti/collaboratori (Provvedimento del Garante del 1° Marzo 2007);

- gestire in base alle corrette procedure i documenti cartacei evidenzianti dati “sensibili” (es. buste paga e certificati medici); 

- assolvere alle nuove prescrizioni in materia di videosorveglianza (Provvedimento del Garante dell’8 Aprile 2010);

- gestire la “Privacy Policy” del sito web per l’invio delle newsletter e servizi interattivi;

- effettuare la formazione del personale;

- nominare i Responsabili al trattamento dati personali;

- gestire i trattamenti affidati in outsourcing all’esterno dell’azienda, ecc.

 

I controlli alla luce delle nuove norme

Alla luce delle nuove norme più stringenti e concrete, durante i controlli delle Autorità preposte (Guardia di Finanza, Polizia Postale, ecc.), si passerà senza dubbio da controlli formali, quali la semplice presa visione del Dps (cosa che accadeva in passato specie nelle realtà più piccole), a controlli sostanziali che andranno inevitabilmente ad accertare le attività concretamente svolte in azienda all’interno dei singoli uffici (ufficio IT, ufficio personale, ufficio amministrazione, ecc.) e finalizzate a proteggere i dati.

Torna alle normative