A partire dal 25 maggio p.v. diventa operativo il nuovo Regolamento Europeo sulla Privacy n. 679/2016 (GDPR), che sostituirà l’attuale codice privacy vigente in materi di protezione dei dati personali (D.Lgs. 196/2003).
Sebbene il Testo sia stato decretato il 27 aprile 2016 e pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016, l’Unione Europea ha concesso 2 anni di tempo per l’adeguamento alla normativa, introdotta per garantire un maggiore livello di privacy e di controllo sui dati personali, sia nel proprio Paese di appartenenza che negli altri Stati Ue. In quanto Regolamento, infatti, ha portata generale, con validità in tutti gli Stati membri, e applicabilità diretta in tutti i suoi elementi.
Ciascun Paese ha la facoltà di rivedere ed adeguare la propria normativa in materia, in caso di evidenti incongruenze con le nuove regole europee. Ne è esempio l’Italia, che ha dovuto abolire la parte generale del vecchio Codice della Privacy.
Il Regolamento si compone di 99 articoli ed introduce importanti novità, quali:
- il diritto all’oblio: gli utenti possono chiedere di rimuovere informazioni che li riguardano;
- la portabilità dei dati: si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account;
- l’obbligo di data breach: le aziende, che subiscono fughe di informazioni sensibili, hanno l’obbligo di comunicarlo entro 72 ore
Entro il 25 maggio p.v. tutte le aziende dovranno, pertanto, adeguare la loro politica sulla privacy e sul trattamento dei dati personali; professionisti ed imprese dovranno conformarsi alle nuove prescrizioni, evitando così di incorrere nelle pesanti sanzioni (sia economiche, sia di natura penale) previste dalla nuova normativa, che possono ammontare fino al 4 per cento del fatturato annuale globale o a 20 milioni di euro.
Le nuove regole puntano su una comunicazione chiara (art. 7), sull’istituzione di un registro delle attività (art. 30), sulla designazione di un responsabile protezione dati (art. 37).
Sul primo punto, l’azienda deve chiedere il consenso “in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice, chiaro e diretto”. La normativa impone, inoltre, ai titolari di dotarsi di un registro delle attività, in cui elencare, tra le latre cose, le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione.
Nel dettaglio, le principali novità riguardano:
- Imprese straniere
Una delle novità d’impatto è l’adeguamento delle imprese straniere al regolamento Europeo. Mentre prima, infatti, i clienti di siti online extracomunitari erano soggetti alla normativa del Paese in cui si acquistava, adesso saranno le imprese a dover adeguare la propria politica di privacy alla normativa europea. - Data Breaches
È stato introdotto il cosiddetto principio di Data Breach, come anticipato in precedenza. In caso di violazione dei dati, accesso abusivo o, comunque, perdita degli stessi, i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo e, nei casi di particolare gravità, anche i diretti interessati entro 72 ore. - Portabilità dei dati
Rilevante risulta l’introduzione del principio di portabilità dei dati nei casi in cui si ha la necessità di trasferire i propri dati da un gestore ad un altro e che dovrà essere reso più agevole da parte delle aziende. - Diritto all’oblio
Scatta anche il diritto all’oblio, cioè la facoltà dell’interessato a veder cancellati parte dei propri dati presenti in Rete, salvaguardando comunque il diritto di cronaca per i casi di rilevante interesse generale o per finalità di interesse storico. - One-stop-shop
Per porre fine ai problemi di responsabilità in caso di multinazionali con sede nel territorio europeo, è stato introdotto il principio del one-stop-shop: le imprese faranno capo solo all’Autorità Garante dello Stato in cui si ha lo stabilimento principale, in modo che le decisioni adottate siano valide su tutto il territorio dell’Unione, ottenendo così un notevole risparmio di tempi e costi nel caso di eventuali controversie. - Privacy by design
Il nuovo Regolamento Europeo ha posto notevole attenzione alla reponsabilità nei confronti degli utenti introducendo il principio della privacy by design, cioè l’obbligo di pianificare fin dall’inizio del processo produttivo (sia di un software che di un prodotto) un’attenta analisi dei rischi, la cosiddetta Privacy Assessment, al fine di assicurare la correttezza, l’integrità, a riservatezza e la sicurezza dei dati, nonché la effettiva cancellazione quando richiesta. - Privacy by default
Il principio della privacy by default, inoltre, mette in rilievo la condizione che gli strumenti e le modalità del trattamento devono essere contenute nei limiti del trattamento minimo necessario per il perseguimento del fine per cui tali dati vengono raccolti. - Accountability
In quest’ottica si pone anche il principio di accountability, cioè l’obbligo, da parte delle Pubbliche Amministrazioni e dei privati che trattano dati personali, non solo di rispettare formalmente le norme del Regolamento ma anche di mettere in pratica quanto stabilito in fase di analisi dei rischi. In caso di controversie, i titolari del trattamento dovranno dimostrare di aver attuato tutte le norme previste per ridurre al minimo i rischi di perdita dei dati o loro violazione, dando avvio alle procedure necessarie alla risoluzione dei problemi e adottando criteri di trasparenza nei confronti dei soggetti, cui si riferiscono le informazioni. - Registro delle attività del trattamento
L’articolo 30 impone al Data Controller (il titolare del trattamento) la redazione e l’aggiornamento del Registro delle attività del trattamento, ove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate. - Data Protection Officer
Per supportare il Data Controller in questa delicata fase è stata istituita la figura del Data Protection Officer il quale dovrà effettuare il cosiddetto Privacy Impact Assessment (in pratica, la valutazione del rischio già presente nel vecchio decreto 196/2003) al fine di valutare le misure e gli accorgimenti da suggerire alle aziende per rispettare le norme del Regolamento, con la produzione della relativa documentazione sulle misure adottate per la tutela i dati. Tale valutazione non sarà obbligatoria per le pmi, a meno della presenza di un rischio elevato.
La nomina del Data Protection Officer è obbligatoria per le Pubbliche Amministrazioni e per le aziende che trattano particolari tipologie di dati (ad esempio i dati biometrici) o che effettuano la profilazione degli utenti. Ma, essendo le sanzioni non trascurabili, è bene valutare attentamente il ricorso a tale figura anche per le aziende che non rientrano strettamente in questi casi. - Semplificazioni nelle comunicazioni al Garante
In tema di semplificazioni, il Regolamento libera le imprese dall’obbligo di comunicare al Garante il trattamento di determinate tipologie di dati (ad esempio la profilazione e la geolocalizzazione), mentre per gli utenti sarà più semplice conoscere quanti e quali dati sono trattati da un’amministrazione o un’azienda, anche se sarà possibile addebitare un costo all’interessato per le richieste manifestamente infondate o eccessive. - Informativa e consenso
Al fine di rendere più semplice la lettura dell’informativa da consegnare all’interessato del trattamento, è previsto il ricorso ad icone esplicative e l’uso di un linguaggio semplice e chiaro.
Il consenso deve essere libero, specifico, informato ed è valido se la volontà espressa non è equivoca. Nel caso di informativa digitale sui siti, non è obbligatorio il segno di spunta ma basta un testo che informa che proseguendo si accetta il trattamento dei dati con un link all’informativa. - Joint Controller
Altre novità inserite nel Regolamento sono la figura del Joint Controller (titolari congiunti che potranno suddividersi le responsabilità privacy in un apposito contratto), la definizione di trattamento dati dei minori, l’introduzione di requisiti più stringenti per la migrazione dei dati verso paesi terzi.
In definitiva, lo scopo del nuovo Regolamento consiste nella tutela dei dati dell’interessato, tenendo conto sia dell’evoluzione delle tecnologie a disposizione per la protezione dei dati raccolti, sia della globalizzazione che ha ampliato enormemente la platea degli attori coinvolti nei processi di raccolta e diffusione dei dati.