LE NUOVE REGOLE EUROPEE IN MATERIA DI PRIVACY
Dopo quasi 4 anni da quando era stata presentata la proposta dalla Commissione Europea nel gennaio del 2012, durante i negoziati del 15 dicembre 2015 con Parlamento e Consiglio è stato finalmente trovato l’accordo per il nuovo Regolamento europeo sulla protezione dei dati, che introdurrà un’unica legislazione in tutte e 28 nazioni dell’UE.
In Italia, prenderà il posto dell’attuale Codice Privacy (D. lgs. 196/2003).
In Europa, tale regolamento si aggiunge al riconoscimento che il diritto alla protezione dei dati personali oggi già trova all’interno del Trattato di Lisbona e della Carta dei diritti fondamentali dell’UE.
Dopo la pubblicazione del testo nella Gazzetta Ufficiale dell’Unione Europea (GUUE), le sue disposizioni saranno direttamente applicabili in tutta l’Unione europea trascorsi due anni.
Interessante, è analizzare da subito i principali contenuti di tale Regolamento.
In particolare, il regolamento ha l’obiettivo di:
a) dare una maggiore protezione ai dati, in particolare alla luce del sempre più diffuso utilizzo di nuove tecnologie digitali e ai connessi problemi di trattamento e conservazione dei dati;
b) armonizzare dal punto di vista normativo la disciplina sulla privacy all’interno dell’Unione Europea, evitando palesi discrepanze nella gestione dei dati.
In altre parole, il nuovo pacchetto di regole sulla protezione dei datigarantirà maggiori opportunità e tutele per cittadini e imprese, adeguando una normativa europea che risale ormai agli anni 90, cioè ad un’epoca in cui come detto molte delle nuove tecnologie attuali non esistevano e Internet era soltanto ancora agli inizi.
E’ utile segnalare alcune delle maggiori novità previste soprattutto in capo alle aziende per le quali:
a) è previsto l’obbligo di nominare un “Data Protection Officer” DPO sia all’interno delle aziende pubbliche sia all’interno delle aziende private con 250 dipendenti o più;
Tale figura, ricoprirà un ruolo importante all’interno dell’azienda nell’ottica di garantire il rispetto della normativa in materia di “Privacy” al fine di evitare le pesanti sanzioni di seguito dettagliate.
b) sarà consigliabile per le aziende nominare in tale funzione professionisti competenti e con esperienza nel settore proprio per evitare sanzioni che potranno arrivare fino al 4% del fatturato annuale dell’azienda.
c) è previsto l’obbligo delle aziende di notificare all’Autorità competente e agli stessi utenti, le violazioni dei dati personali chiamate data breaches, avvenute al proprio interno entro un termine di tempo predeterminato che decorre dal momento in cui la violazione viene scoperta.
d) è prevista l’introduzione del privacy impact assesment, vale a dire la necessità di svolgere una valutazione complessiva sull’impatto della privacy all’interno dell’azienda.
e) è previsto il riconoscimento per gli interessati del c.d. diritto all’oblio, cioè la possibilità di decidere quali informazioni possano continuare a circolare, in particolare sul web, fatta eccezione per talune ragioni e/o esigenze connesse al rispetto di obblighi di legge.
Più nello specifico, l’articolo 17 del Regolamento in merito al delicato diritto alla cancellazione (“diritto all’oblio”) ha specificato come:
1. L’interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il responsabile del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l’interessato ritira il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro motivo legittimo per trattare i dati;
c) l’interessato si oppone al trattamento dei dati personali ai sensi dell’articolo 19, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento dei dati personali ai sensi dell’articolo 19, paragrafo 2;
d) sono stati trattati illecitamente;
e) i dati devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento;
f) i dati sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.
f) è prevista la c.d. portabilità del dato, ovvero il riconoscimento agli interessati della possibilità di trasferire i propri dati da un soggetto giuridico a un altro.
g) viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti dei dati personali non svolti nell’UE, se relativi all’offerta di bei o servizi a cittadini UE o tali da consentire il monitoraggio di comportamenti di cittadini UE.
Da notare infine chei termini “Titolare del trattamento” e “Responsabile del trattamento”, già presenti nel Codice privacy italiano, compariranno anche nei testi italiani del Regolamento europeo in materia di protezione dei dati personali.
Si tratta di un adattamento terminologico caldeggiato dal Garante per la protezione dei dati personali preoccupato di non veder sottoposti gli operatori del nostro Paese ad un inutile sforzo adattativo e interpretativo.
L’iniziativa del Garante ha trovato anche il sostegno dei giuristi-linguisti di lingua italiana presso il Consiglio e il Parlamento Ue.
Le precedenti versioni italiane del Regolamento, infatti, riportavano i termini “responsabile del trattamento” (data controller) e “incaricato del trattamento” (data processor). Tuttavia, trattandosi, di fatto, di figure identiche quanto a caratteristiche soggettive a quelle che nel Codice privacy italiano sono indicate rispettivamente come “titolare” e “responsabile”, l’Autorità italiana ha chiesto ed ottenuto che i nuovi testi mantenessero tali diciture in modo da evitare a imprese, enti, professionisti e cittadini ogni possibile problema di interpretazione giuridica ed eventuali costi, anche materiali, connessi al cambiamento terminologico.
© riproduzione riservata dello Studio GF LEGAL STP
