Condividi su

Normative: Privacy

30/04/2012
PRIVACY - Legge privacy (D.Lgs. 196/2003): importanti novità dalla Commissione Europea

A cura del Dottore Juri Torreggiani Consulente Privacy

Nuova normativa UE sulla protezione dei dati personali 

Lo scorso 25 gennaio la Commissione Europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di protezione dei dati personali (c.d. “Privacy”). 

In particolare, sono stati presentati un regolamento che andrà a sostituire la Direttiva 95/46/CE e una direttiva che dovrà disciplinare particolari trattamenti di dati.

È importante sottolineare fin d’ora che i regolamenti UE, a differenza delle direttive, una volta approvati sono immediatamente esecutivi, non necessitando di recepimento da parte dei singoli Stati membri. 

Per tale motivo il regolamento dovrà garantire, oltre a una maggiore protezione dei dati, anche una maggiore armonizzazione normativa a livello dell’intera UE.

 

Regolamento UE

Elenchiamo quindi di seguito e in estrema sintesi, alcune tra le maggiori novità e obblighi della proposta di regolamento:

• sono introdotte nuove fondamentali definizioni di legge (es. dato genetico, dato biometrico);

• è introdotto il requisito del “privacy impact assessment”, ossia la necessità di effettuare una valutazione dell’impatto-privacy all’interno dell’azienda, adottando dei modelli organizzativi idonei a tutelare i dati; 

• è sancito il principio generale denominato “privacy by design”, cioè la necessità di prevedere misure a protezione dei dati, già al momento della progettazione di un prodotto o servizio;

• è introdotto l’obbligo di nominare all’interno dell’azienda un “data protection officer” (incaricato della protezione dati, secondo la terminologia della direttiva 95/46), per tutte le aziende pubbliche e per le aziende private aventi un certo numero di dipendenti;

• è elevato l’importo delle sanzioni che potranno arrivare fino a un milione di euro o al 2% del fatturato annuale dell’impresa;

• si stabilisce l’obbligo per l’azienda di notificare all’Autorità competente le violazioni dei dati personali avvenute al proprio interno (es. accessi abusivi, usi non consentiti), entro il termine di 24 ore dalla scoperta della violazione;

• si stabilisce il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un titolare a un altro);

• si stabilisce il “diritto all’oblio”, ossia la possibilità per l’interessato di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge);

• viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE.

 

Direttiva UE

Per quanto riguarda invece la proposta di direttiva, essa sostituirà, una volta adottata, la Decisione-Quadro (la 2008/977/GAI), attualmente in vigore, la quale disciplina i  trattamenti di dati da parte delle autorità giudiziarie e di polizia. 

La direttiva riprende l’impostazione del regolamento che richiama in molte delle sue previsioni, a cominciare dalle definizioni di interessato, dato personale, trattamento, titolare del trattamento, ecc.. Essa  contiene, tuttavia, disposizioni specifiche sulle responsabilità dei titolari e sugli obblighi che su di essi incombono in materia di trasparenza e accesso, fissando anche criteri di legittimità dei trattamenti in oggetto, nonché i meccanismi di mutua cooperazione e i poteri delle autorità nazionali di controllo. Come già ricordato, le sue disposizioni dovranno essere recepite attraverso apposite norme nazionali. 

 

Documento programmatico sulla sicurezza

L’art. 45 del D. L. 9 febbraio 2012, n. 5 (così detto “Decreto Semplificazioni”), il quale risulta essere per sua stessa natura provvisoriamente esecutivo, in controtendenza rispetto a quanto espresso dalla Commissione Europea e in attesa dell’approvazione del regolamento UE, ha eliminato l’obbligo di stesura del Documento Programmatico sulla Sicurezza (DPS). 

A fronte dei numerosi quesiti pervenuti e per evitare pesanti sanzioni, è anzitutto importante sottolineare che tutti gli altri obblighi per la corretta gestione e protezione dei dati personali all’interno dell’azienda, rimangono inalterati.

Oggigiorno, continua quindi a essere necessario, per esempio:

• applicare le misure di sicurezza informatica agli apparati hardware e software;

• assolvere a quanto previsto dal nuovo Provvedimento sugli Amministratori di Sistema;

• redigere idonee informative ai sensi dell’art. 13 del D. Lgs. 196/2003: informative ai dipendenti e collaboratori, informative ai clienti, fornitori, potenziali clienti, terzi in genere, informative per utenti del sito web aziendale, informativa per i candidati all’assunzione, ecc.;

• raccogliere i consensi dagli interessati, quando necessario;

• nominare gli incaricati autorizzati al trattamento dei dati personali; 

• redigere il disciplinare interno per il corretto utilizzo di internet e posta elettronica (provvedimento del Garante del 1° marzo 2007);

• gestire in base alle corrette procedure i documenti cartacei evidenzianti dati “sensibili”; 

• assolvere alle nuove prescrizioni in materia di videosorveglianza (provvedimento del Garante dell’8 aprile 2010);

• gestire la “Privacy Policy” del sito web per l’invio delle newsletter e servizi interattivi;

• effettuare la formazione del personale;

• nominare i responsabili al trattamento dati personali;

• gestire i trattamenti affidati in outsourcing all’esterno dell’azienda, ecc..

 

Conseguenze pratiche: controlli sostanziali

Se l’eliminazione dell’obbligo di stesura del DPS verrà confermata con la conversione in legge si avranno, a livello pratico, importanti conseguenze.

In particolare, durante i controlli delle Autorità preposte (Guardia di Finanza, Polizia Postale, ecc.), si passerà senza dubbio da controlli formali, quali la semplice presa visione del DPS (cosa che accade specie nelle realtà più piccole), a controlli sostanziali che andranno inevitabilmente ad accertare le attività concretamente svolte in azienda all’interno dei singoli uffici (ufficio IT, ufficio personale, ufficio amministrazione, ecc.).

Per l’azienda diventerà quindi indispensabile applicare fattivamente tutto quanto previsto dalla normativa vigente, pur potendo tralasciare l’adempimento puramente burocratico costituito dalla stesura del DPS.

 

Manuale delle procedure

È in ogni caso da ritenersi ancora necessaria, anche ai sensi di quanto previsto dal D. Lgs. 231/2001, la stesura di un “Manuale delle procedure interne” il quale, seppur senza  formalismi particolari, certifichi le attività svolte, tutelando i vertici aziendali e i responsabili privacy, sia in caso di controlli da parte delle Autorità preposte, ma anche in caso di contenzioso interno (con collaboratori, clienti, fornitori, ecc.) o di richieste di risarcimento di danni avanzate da terzi in sede civile. 

Nel Manuale andranno poi esposte quelle informazioni che il legislatore pretende vengano aggiornate almeno annualmente (es. l’elenco degli amministratori di sistema, la verifica dei profili di autorizzazione, ecc.). 

Torna alle normative