Approvato il Regolamento Generale Europeo sulla protezione dei dati personali.

929
4.12 - 0 voti
 Approvato il Regolamento Generale Europeo sulla protezione dei dati personali.

È ufficialmente in vigore dal 24 maggio 2016 il nuovo Regolamento europeo in materia di protezione dei dati personali.
Il testo – pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) lo scorso 4 maggio – diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.
Il Regolamento è parte del cosiddetto Pacchetto protezione dati, l’insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’UE e comprende anche la Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini. La Direttiva, pubblicata in GUUE insieme al Regolamento e vigente dallo scorso 5 maggio, dovrà essere recepita dagli Stati membri entro 2 anni.

Approvato il Regolamento Generale per il trattamento dei dati personali.

Finalmente il nuovo Regolamento Generale sulla Privacy è stato approvato, due anni di tempo e tutti dovranno risultare essersi adeguati alla normativa. Proviamo a delineare alcune prime considerazioni concrete che coinvolgeranno le imprese
Il Regolamento del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Le nuove norme includono disposizioni su:

  • il diritto all’oblio;
  • condizioni per un “consenso chiaro” per il trattamento dei dati privati dell’interessato;
  • il diritto di trasmettere i propri dati a un altro titolare del trattamento;
  • il diritto di venire a conoscenza della violazione (hackering) dei propri dati personali;
  • la garanzia affinché le informazioni relative alle politiche di privacy siano indicate con un linguaggio chiaro e semplice;
  • l’applicazione più severa di tali disposizioni e sanzioni amministrative pecuniarie fino al 4% del fatturato mondiale totale annuo per le imprese che violano tali disposizioni.

Il Regolamento presenta un nuovo catalogo di definizioni che imporranno molti cambiamenti nel modo in cui approcciarsi alla disciplina in materia di privacy. Per esempio il consenso viene ora identificato in qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Una modifica che influenzerà sia aspetti commerciali (un semplice flag probabilmente non sarà sufficiente quindi a manifestare inequivocabilmente il consenso dell’interessato) che collegati ai rapporti lavorativi.

Anche l’aspetto sanzionatorio è stato ritoccato in senso maggiormente stringente. Alle Autorità di Sorveglianza sono stati attribuiti nuovi e più penetranti poteri: ordini, previsioni penali, previsioni civili e multe che possono raggiungere i € 20 milioni, o il 4% del fatturato annuo.
La redazione delle informative dovrà essere in parte ripensata. Tutte le imprese hanno il dovere di fornire un’informativa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (laddove tal tipo di precisa obbligo non è presente nell’attuale normativa).
Allo stesso modo trova spazio l’attenzione che il Regolamento pone sull’importanza della redazione di un Codice di condotta, anche ai fini della conformità alla norma. Dovrà essere garantito con maggiore attenzione il tracciamento (documenti interni, policy, ecc.) di tutte le attività di trattamento con la nomina, quando necessario, del Data Protection Officer a cui dovranno essere assicurate risorse sufficienti e indipendenza.

Nell’ottica della rivisitazione dei processi e dei progetti aziendali le imprese dovranno tener conto dei principi di privacy by design e default, cioè ragionare in termini di compliance privacy dall’inizio e per tutto l’intero ciclo dei processi aziendali. In determinati contesti sarà anche necessario procedere ad una valutazione di impatto sui dati personali (c.d. DPIA).
Un’altra innovazione che inciderà in maniera trasversale sulle scelte delle imprese sarà la disciplina dettata in materia di profilazione. Marketing, sicurezza, monitoraggio dei clienti, analisi, controllo e tanto altro sono tutti settori che presuppongono spesso un’attività di profilazione. Le imprese che se ne occupano, sia come core business che come processi aziendali interni, avranno l’obbligo di fornire comunicazioni particolarmente precise e chiare agli interessati.

Il Regolamento innalza poi anche il livello minimo di sicurezza delle informazioni. Viene previsto un generale obbligo di segnalare eventuali violazioni dei dati subite. Ne consegue anche l’opportunità di individuare precisi processi aziendali di difesa. Andranno per esempio individuati: ruoli specifici e responsabilità, formazione dipendenti e modelli di preparazione.

Anche per i responsabili del trattamento il Regolamento impone nuovi e rilevanti obblighi di conformità alle direttive del titolare, e conseguenti doveri e responsabilità. La nuova disciplina coinvolgerà direttamente quelle aziende che lavorano come responsabili (i.e. gli outsorcers), ma può anche interessare qualsiasi attività commerciale che impegna un responsabile interno. I responsabili ed i titolari dovranno quindi rivedere gli esistenti contratti affinché risultino conformi ai dettami del Regolamento.
Per le PMI che hanno sviluppato il proprio business anche al di fuori dei confini italiani va tenuta in debito conto la disciplina sul trasferimento dei dati. Per le imprese che comunque rimangono in Europa varrà il principio del One Stop Shop. Ciò sta a significare che tutte le questioni relative al trattamento dei dati personali potranno far riferimento ad un’unica Autorità di Sorveglianza e cioè quella dove hanno il proprio stabilimento.

Invece, il trasferimento dati personali verso Stati fuori dell’UE, come anche previsto dalla normativa previgente, è permesso soltanto nel caso in cui lo Stato terzo garantisca un’adeguata protezione, ovvero nel caso in cui venga sottoscritto un accordo internazionale (quale il Privacy Shiled con gli USA). Per i trasferimenti infragruppo, poi, trova maggior riscontro la necessità di predisporre opportune norme vincolanti d’impresa (le c.d. BCR)
Va infine ricordato che sebbene la normativa appena approvata intende regolamentare tutti gli aspetti del trattamento dei dati personali, rimarranno comunque molti settori da armonizzare anche in considerazione dei molteplici provvedimenti specifici emessi dall’Autorità Garante in questi anni.

Nuove norme in materia di trasferimenti di dati al fine di garantire una cooperazione giudiziaria più agevole

Il pacchetto di protezione dati include anche una direttiva sui trasferimenti di dati a fini giudiziari e di polizia. Si applica ai trasferimenti di dati attraverso le frontiere all’interno dell’Unione europea e stabilisce, per la prima volta, norme minime per il trattamento dei dati a fini di polizia all’interno di ogni Stato membro.
Le nuove norme mirano a proteggere gli individui, vittime, criminali o testimoni, stabilendo diritti chiari e limitazioni al trasferimento dei dati personali a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, compresa la protezione delle persone e la prevenzione di minacce alla sicurezza pubblica. Allo stesso tempo, il testo mira a facilitare la cooperazione fra autorità giuridiche e di polizia.