Condividi su

Normative: Privacy

11/12/2013
PRIVACY - Il contenuto del testo

A cura del Dottore Juri Torreggiani - Consulente privacy

Il contenuto del testo emendato del Regolamento, evidenzia molte delle impostazioni della proposta originale della Commissione, a cominciare  dall’applicabilità del Regolamento ai trattamenti svolti da aziende extra-Ue se queste utilizzano dati personali di utenti Ue per offrire loro prodotti o servizi.
Ulteriori conferme riguardano, ad esempio, il consenso della persona interessata (che deve essere “esplicito” anziché solo “inequivocabile” come nell’attuale direttiva 95/46) o il diritto alla portabilità dei dati.
Sono state inoltre confermate:
• alcune proposte estremamente innovative, quali la nomina obbligatoria di un “Data Protection Officer” o “Privacy Officer” da parte dei titolari di trattamento (secondo criteri però diversi rispetto a quelli indicati dalla Commissione), soggetto questo che risulta quindi essere un’ulteriore figura presente all’interno delle aziende, oltre a quelle già previste dal legislatore italiano;
• l’introduzione di un obbligo generale per tutti i titolari di trattamenti dati di notificare eventuali violazioni (data breaches) alle Autorità privacy e, in determinati casi, anche agli interessati.
Gli emendamenti evidenziano anche versioni “semplificate” di alcune disposizioni del futuro Regolamento: il diritto all’oblio, ad esempio, è stato trasformato in un diritto alla rettifica o alla limitazione del trattamento in forma rafforzata.
Sono stati poi resi più stringenti i requisiti per trasferire dati personali verso paesi terzi, con l’introduzione di un articolo che prevede l’obbligo di autorizzazione dei Garanti nazionali prima di inviare dati su richiesta di autorità giudiziarie o amministrative di paesi terzi.
È stato modificato anche il sistema delle sanzioni amministrative, che tutte le Autorità nazionali di controllo devono poter comminare, ma che sono libere di definire entro una soglia pecuniaria massima e nel rispetto di una griglia di criteri fissati nel testo.
È stato invece eliminato l’obbligo, oggi vigente, di notificare i trattamenti all’Autorità di protezione dati.
Il Garante italiano sottolinea poi che vanno segnalate anche le modifiche apportate alla proposta di Regolamento per quanto riguarda il meccanismo di “sportello unico” (one-stop-shop)  e la collaborazione fra autorità di controllo attraverso il cosiddetto “meccanismo di coerenza”.
Secondo il Parlamento, lo sportello unico deve permettere alle imprese multinazionali di dialogare con un unico interlocutore nell’Ue (l’Autorità privacy del Paese dove hanno il loro “stabilimento principale”), ma il ruolo di questa Autorità (definita, appunto, “Autorità capofila”) deve consistere nel coordinamento di un processo di co-decisione in cui tutte le Authority degli Stati membri interessati da un trattamento devono partecipare e avere voce.

Torna alle normative