E’ stato pubblicato il 4 maggio 2016 in Gazzetta Ufficiale dell’Unione Europea il testo definitivo del Regolamento europeo n. 2016/679 in materia di protezione dei dati personali, unitamente a quello della Direttiva UE n. 2016/680 in tema di trattamento dei dati da parte delle Autorità competenti in ipotesi di prevenzione, indagini, accertamento e perseguimento dei reati.
La nuova disciplina del Regolamento sarà applicabile dal 25 maggio 2018, così da consentire ad enti ed imprese di potersi adeguare, senza incorrere nelle tanto temute sanzioni.
L’esigenza di adozione di una nuova disciplina uniforme per tutti i Paesi della UE era da tempo fortemente sentita tra gli operatori del settore, posto che lo sviluppo delle nuove tecnologie aveva comportato un rapido “invecchiamento” della disciplina prevista nella Direttiva comunitaria del 1995. Inoltre, la scelta di utilizzare lo strumento del regolamento europeo comporta che ora la disciplina sia identica per tutti i Paesi membri della Unione Europea e già stabilita a livello di legislazione europea, senza necessità che ogni Parlamento nazionale disciplini la medesima materia. Ecco che aumenta la certezza sulle regole: in tutta Europa le regole sono le stesse e le stesse saranno anche per chi opererà, venendo dal sistema extra-UE.
Il testo del nuovo Regolamento conferma molto della disciplina sino ad ora prevista, sia in tema di principi da applicare che di condotte, tuttavia introduce anche significative novità.
Vediamo cosa cambierà dunque rispetto alle regole precedenti:
- innanzitutto le sanzioni in caso di violazione sono state aumentate, tanto che per le aziende si rende imperativo adeguarsi alla nuova normativa e rispettarne le regole.
- le nuove norme dovranno essere rispettate non solo da aziende che operano all’interno del territorio della Ue, ma anche a chi opera il trattamento di dati personali di persone che si trovano nel territorio della Ue, se il prodotto o il servizio sono relativi a persone che si trovano nell’Ue o se tali da monitorizzare comportamenti di tali soggetti. Ecco ad esempio che aziende americane che vendono on line a persone che si trovano in Ue ora dovranno adeguarsi anche alla normativa comunitaria.
- viene introdotto il cd. diritto alla portabilità, per cui chi ha fornito i propri dati ad un soggetto potrà trasmetterli ad un altro senza incontrare impedimenti di sorta, anzi usufruendo di una trasferimento diretto tra vecchio e nuovo soggetto che li tratterà (pensiamo ad esempio a dati che servano per un nuovo contratto).
- grande importanza è data al principio di trasparenza: la persona, a cui i dati personali si riferiscono, deve ricevere una informazione sul perché i dati sono raccolti, su chi li raccoglie, come lo fa, sulle garanzie a cui ha diritto, su cosa può o non può fare con i propri dati, ecc. Le informazioni dovranno essere rese nel modo più conciso, chiaro, trasparente, comprensibile e facilmente accessibile possibile, anche preferendo delle modalità cd. multistrato, ossia frazionate in relazione alla situazione di riferimento. E’ insomma da evitarsi l’uso di informative chilometriche che nessuno è in grado di leggere e comprendere, perché non raggiungono lo scopo per cui sono previste: informare la persona che fornisce i propri personali.
- ciascuno avrà diritto al cd. oblio, alla cancellazione dei propri dati o alla loro rettifica. E’ importante che si possa chiedere di cancellare i propri dati personali che non sono più necessari allo scopo per cui erano stati raccolti.
Il diritto all’oblio, ossia ad essere dimenticati assume grande importanza nell’ambito della rete web. Basta considerare questo: viene pubblicata on line una notizia pregiudizievole; la pubblicazione è legittima perché c’è un interesse pubblico alla notizia, sono rispettati tutti i canoni di correttezza; tuttavia anche a notevole distanza di tempo dal fatto, ogni volta che un utente della rete digita il nome della persona gli appare tra i link collegati anche quello relativo a quella notizia negativa per la sua immagine. La domanda che spesso ci si pone è: ha senso che dopo tanto quel fatto sia ricordato? Non è che visto che è passato tanto tempo rivangare la cosa non soddisfa più alcun interesse per il pubblico ed è solo dannoso per i protagonisti?Ecco che dare all’interessato la possibilità di fare dimenticare l’accaduto non è cosa di poco conto. Ad oggi la cosa può risultare tutt’altro che facile, posto che l’informazione che si vuole eliminare “risiede” in luoghi virtuali diversi che non sono limitati al solo sito dove il fatto è stato pubblicato inizialmente.Il testo del nuovo Regolamento europeo permetterà di risolvere questo problema: chi ha trattato i dati e informato del fatto ed è quindi obbligato a cancellarli (perché ad es. gli è stato chiesto dal diretto interessato) oltre a cancellarli appunto, dovrà informare chi altri sta trattando quei dati di cancellare qualsiasi link, copia o riproduzione dei dati personali in questione. - viene dato particolare rilievo alla responsabilità di chi tratta i dati personali altrui, è il principio della cd. accountability: deve dimostrare di avere rispettato le nuove regole.
Chi tratta i dati quindi dovrà adottare politiche e garantire misure adeguate ed anche dimostrare che il trattamento dei dati che sta facendo rispetta appieno il regolamento comunitario.
La responsabilità, così individuata, comporterà per le aziende che trattano dati altrui, a livello esterno, di essere in grado di dare conto del rispetto delle regole; a livello interno, invece, comporterà l’adozione di meccanismi, regole e misure tecniche ed organizzative.
Proprio con riguardo all’attuazione di tali misure tecniche e organizzative adeguate rispetto al regolamento che entrerà in vigore, viene stabilito il principio di privacy by design, ossia tutto deve essere predisposto da parte di chi tratta i dati altrui già a livello progettuale e non solo esecutivo. La tutela della privacy deve quindi svilupparsi nell’intero percorso di vita del trattamento, tanto più se questo avviene attraverso le nuove tecnologie. Chi tratterà dati altrui avrà nuovi obblighi da rispettare ancor prima di iniziare tale trattamento, ad esempio dovrà già adottare software o hardware che garantiscano il rispetto dei requisiti di sicurezza previsti dal Regolamento.
- nel caso di enti o società che trattino dati su larga scala dovranno istituire un consulente speciale, il cd. Data Protection Officer, che assicuri la conformità alle regole.
- grande importanza viene data alla valutazione dell’impatto del trattamento (privacy impact assessment): prima di poter procedere al trattamento tutti dovranno valutari possibili rischi di tale attività e prevedere le misure opportune da adottare. Dovrà essere fatta una valutazione per iscritto.
- viene introdotto l’obbligo di notifica al Garante del cd. data breach, ossia della perdita o furto di dati e in genere le violazioni del trattamento. La notifica dovrà avvenire senza ingiustificato ritardo e ove possibile entro le 72 ore dal momento in cui chi tratta quei dati se ne sia accorto. La nuova disciplina prevede anche esattamente il contenuto previsto per la comunicazione da effettuare, compreso anche la descrizione delle misure che vengono proposte per rimediare all’accaduto. In specifiche ipotesi dovrà essere effettuata una comunicazione della violazione anche all’interessato del trattamento dei dati personali.
- chi tratta dati altrui dovrà tenere un registro delle attività del trattamento effettuato, che a richiesta potrà essere oggetto di controllo da parte delle Autorità.
- viene dato ampio rilievo alla attività di certificazione e agli organismi a ciò deputati, posto che l’utilizzo di meccanismi, sigilli o marchi approvati permette a chi tratta i dati altrui di dimostrare la conformità del proprio trattamento alle nuove regole. Tuttavia, se le norme verranno approvate definitivamente secondo il testo del disegno di legge attuale, la certificazione non porrà al riparo da controlli, né riduce la responsabilità di chi tratta i dati in caso di commesse violazioni, per cui sarà opportuno valutare caso per caso l’utilità della stessa.
Tra le novità è stata introdotta una semplificazione per le multinazionali: è il cd. one-stop-shop, un meccanismo per cui potranno rapportarsi con una sola Autorità Garante, quella del Paese in cui hanno lo stabilimento principale.
In conclusione, il nuovo Regolamento europeo introduce delle rilevanti novità in materia di cui tutti dovranno tener conto, adeguando la propria attività in ottica di rispetto delle prescrizioni impartite, rischiando altrimenti di incorrere nelle rilevanti sanzioni previste, oltre che esponendosi al risarcimento del danno al soggetto a cui i dati personali si riferiscono.