La “rivoluzione” della privacy è avvenuta con il Regolamento Europeo 679/16, il quale, abroga la Direttiva 95/46/CE da cui è derivato il DLgs 196/03, e di conseguenza anche il nostro “Codice della privacy”.
Il Regolamento 679/16 si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018.
Pertanto tutti i soggetti che a qualsiasi titolo trattano dati personali dovranno conformare le proprie privacy policy entro tale data.
Le sanzioni, in caso di mancato adeguamento, possono arrivare fino a 20 milioni di euro o al 4% del fatturato.
Significative innovazioni non solo per i cittadini ma anche per le aziende, gli enti pubblici, le associazioni ed i liberi professionisti.
La tutela a favore degli interessati si viene a rafforzare ed inevitabilmente nascono nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali.
L’obiettivo è quello di rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali, sempre più avvertite dai cittadini anche all’esterno dell’Unione Europea.
Va precisato innanzitutto che, applicandosi la normativa del soggetto i cui dati vengono raccolti, la nuova normativa europea investe anche le imprese situate fuori dall’UE che offrono servizi o prodotti a persone che si trovano nel territorio dell’UE.
Tra i punti cardine si segnalano:
- Il riconoscimento di nuovi diritti: come il diritto all’oblio, per cui ogni individuo potrà richiedere la cancellazione per motivi legittimi, anche on line, dei propri dati in possesso di terzi;
- La portabilità dei propri dati personali: ovvero il loro trasferimento (ma con eccezioni) da un social network a un altro, in un mercato digitale dunque più aperto alla concorrenza;
- Maggiore trasparenza nell’informativa: accresce il suo ruolo in termini di trasparenza dovendo essere scritta in modo chiaro e semplice (utilizzo di icone standard europee). La stessa, comprende il diritto degli interessati a sapere se i loro dati sono trasmessi al di fuori dell’UE e con quali garanzie, restando vietato il trasferimento di dati personali verso Paesi al di fuori dell’Unione europea o organizzazioni internazionali che non rispondono agli standard di adeguatezza fissati dalla Commissione europea in materia di tutela dei dati.
- Maggiore tutela del consenso al trattamento: esso deve essere libero, specifico, informato, inequivocabile e per i dati sensibili esplicito. Esso diventa strumento di garanzia anche on line e può essere revocato in ogni momento dall’interessato; mentre per i minori di anni 16, i fornitori di servizi internet e social media dovranno richiederlo ai loro genitori o a chi esercita la potestà genitoriale.
- Maggiori responsabilità e sanzioni per le imprese e gli enti;
- Semplificazioni: a riguardo si segnalano lo “sportello unico” che facilita la gestione dei trattamenti e garantisce un approccio uniforme; che la possibilità di rivolgersi ad un solo interlocutore, e cioè all’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale, in caso di problematiche sull’applicazione e il rispetto del Regolamento; e ancora, per le piccole e medie imprese, tagli ai costi e burocrazie più snelle e fluide; inoltre, cade l’obbligo di notifica all’autorità di vigilanza.
- Responsabilizzazione (accountability) dei titolari del trattamento: e comportamenti che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Il principio-chiave è “privacy by design”, ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e prevenire tutte le possibili problematiche.
- Maggiore attenzione agli obblighi di documentazione ed informazione: i Titolari e i Responsabili del trattamento saranno onerati di dimostrare che tutte le misure adottate rispettino il Regolamento, e dovranno fare ciò attraverso la predisposizione di Registri delle attività di trattamento (art. 30), la cui semplice mancanza comporta l’applicazione di aspre sanzioni.
- Cooperazione con l’autorità di controllo: si richiede di notificare qualsiasi violazione dei dati personali alla stessa e al diretto interessato (data breach) (art. 32-34) in caso di minaccia per i diritti e le libertà delle persone, in modo chiaro, semplice e immediato e offrire indicazioni su come limitare le possibili conseguenze negative. Il mancato rispetto di quest’obbligo potrebbe comportare anche sanzioni penali.
- Valutazioni d’impatto sulla protezione dei dati: si tratta del cd. Privacy Impact Assessment”, ritenuto necessario in tutti i casi di trattamento che presenti rischi elevati per i diritti delle persone. Oltre a siffatte valutazioni e analisi dei rischi del trattamento,
- Istituzione di un responsabile per la protezione dei dati (DPO): figura manageriale a rinnovo periodico e referente del Garante, incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti.
- Promozione di codici di condotta: approvati dell’Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea, cosicché il titolare potrà far certificare i propri trattamenti.
La dirompente novità del Regolamento (e la sua imminente obbligatorietà) stanno costringendo tutte le aziende, ognuna per quanto ne è interessata, e gli operatori economici in genere, a correre ai ripari per adeguare, entro il prossimo maggio, i propri protocolli interni alle novità in atto, onde evitare pesanti sanzioni pecuniarie e non solo.
Per ricevere consulenza o maggiori informazioni sul nuovo Regolamento privacy contatti il nostro Studio ai seguenti recapiti:
Tel: 071/2415178 Email: fcg@fcglex.it
(Con la collaborazione dell’Avv. Alessia Carnevali)