Condividi su

Normative: Privacy

27/06/2016
PRIVACY - IL NUOVO REGOLAMENTO EUROPEO PRIVACY PUBBLICATO SULLA GAZZETTA UFFICIALE UE IL 4-5-2016

A cura del Dott. Juri Torreggiani - Consulente privacy

Dopo anni di lunga attesa, la normativa sulla Privacy ha finalmente delle regole condivise e valide a livello europeo. Il 4 maggio scorso infatti, sulla Gazzetta Ufficiale della UE sono stati pubblicati tre provvedimenti che indicano nuove modalità di trattamento dei dati personali e gli obblighi che gravano in capo alle imprese.

In particolare, sono stati pubblicati:

- il nuovo Regolamento Privacy il quale andrà a sostituirà le varie normative nazionali;

- una Direttiva per la raccolta e l’utilizzo di una serie di informazioni relative ai passeggeri che volano all’interno degli spazi aerei  della Ue;

- una Direttiva in materia di uso delle informazioni personali nel corso di attività di polizia.

Senza dubbio l’impatto più importante è quello che scaturirà dall’applicazione del nuovo Regolamento Privacy, il quale dovrà essere perfettamente recepito dagli Stati membri e dalle aziende entro il maggio 2018. In sostanza, entro 2 anni bisognerà adeguarsi alle nuove norme, che intervengono in modo rigoroso e massiccio per ottimizzare i trattamenti dei dati e la loro tutela, imponendo precisi obblighi in capo alle aziende. Alla scadenza del biennio, nei Paesi UE si applicherà direttamente il nuovo Regolamento, che non necessita di alcun recepimento. Le normative nazionali diventeranno automaticamente superate e permarranno valide solo quelle disposizioni interne che non si sovrappongono a quanto descritto e imposto dalla nuova normativa. Nel caso del Codice della Privacy italiano (il D. Lgs. 196 del 2003), si può già ipotizzare che buona parte degli articoli attualmente vigenti saranno abrogati e che ne rimarranno validi solo pochi riferiti a specifiche tematiche. Si ritiene comunque necessario, allo stato attuale, che vi sia un’opera di armonizzazione, la quale dovrà essere inevitabilmente svolta dal legislatore nazionale, prima di arrivare a una concreta ed efficacie applicazione del nuovo Regolamento Europeo.

 

Scopi e principali contenuti del Regolamento UE

Si ritiene utile riepilogare di seguito gli scopi e i principali contenuti del nuovo testo di legge.

Il Regolamento Europeo avrà anzitutto l’obiettivo di garantire:

•   una maggiore protezione dei dati, anche alla luce delle sempre nuove tecnologie digitali utilizzate per il loro trattamento e conservazione;

•   una maggiore armonizzazione normativa a livello dell’intera UE, evitando palesi discrepanze nella gestione dei dati, le quali comportano attualmente un evidente danno e disorientamento per gli utenti. 

In estrema sintesi, si anticipano poi alcune tra le maggiori novità e obblighi che verranno introdotte/i in capo alle aziende:

• è previsto l’obbligo di nominare all’interno dell’azienda un così detto “Data Protection Officer - DPO” (ossia un responsabile della protezione dati, secondo la terminologia della Direttiva 95/46), per tutte le aziende pubbliche e per le aziende private aventi un certo numero di dipendenti. Questa figura, che avrà l’onere di garantire il pieno rispetto della normativa, dovrà essere individuata dai vertici aziendali con estrema attenzione, scegliendo professionisti di comprovata competenza ed esperienza in materia “Privacy”, onde evitare le pesantissime sanzioni di cui si dirà al punto successivo. A parere di chi scrive, dovrà quindi essere necessariamente abbandonata la cattiva abitudine di affidare la protezione dei dati in azienda al classico “collaboratore improvvisato e tuttofare”, abitudine a tutt’oggi ancora radicata, ma che in futuro potrebbe portare a conseguenze davvero spiacevoli;

•    è enormemente maggiorato l’importo delle sanzioni che, fatti salvi i minimi di legge, potranno arrivare fino al 4% del fatturato annuale dell’impresa;

•    si stabilisce l’obbligo per l’azienda di notificare all’Autorità competente e agli stessi utenti, le violazioni dei dati personali (così dette “data breaches”), avvenute al proprio interno (es. accessi abusivi, usi non consentiti), entro un termine temporale prestabilito e decorrente dal momento della scoperta della violazione;

•    è introdotto il requisito del “privacy impact assessment”, ossia la necessità di effettuare una valutazione complessiva dell’impatto privacy all’interno dell’azienda;

•    è sancito il principio generale denominato “privacy by design”, cioè la necessità di prevedere specifiche misure tecniche e organizzative a protezione dei dati, già al momento della progettazione di un prodotto o servizio;

•    si riconosce agli interessati il “diritto all’oblio”, ossia la possibilità di decidere quali informazioni possano continuare a circolare (in particolare nel mondo on-line) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (a esempio, per rispettare obblighi di legge);

•    si riconosce inoltre agli interessati il diritto alla “portabilità del dato” (ad es. nel caso in cui si intendesse trasferire i propri dati da un soggetto giuridico ad un altro);

•  viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE. 

Torna alle normative