Toc, Toc… sono ll Nuovo Regolamento Europeo sul Trattamento dei Dati

Fiocco azzurro in Comunità Europea; ha visto la luce dopo un parto travagliato il nuovo REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati).

La sua approvazione ha avuto un percorso molto articolato, in sintesi ecco le principali tappe:

  • 1995: Direttiva Europea (la n. 95/46/Ce e la 2002/58/Ce)
  • 25 Gennaio 2012: Regolamento del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati).
  • 12 marzo 2014: il Parlamento Europeo ha approvato in prima lettura il testo di Regolamento con alcuni emendamenti, e ha trasmesso il medesimo al Consiglio dell’Unione europea. (+ di 4000 emendamenti).
  • Ottobre e Dicembre 2014: il Consiglio, nella formazione “Giustizia e Affari Interni” composta dai ministri della giustizia e degli affari interni di tutti gli Stati membri dell’UE, ha raggiunto un accordo parziale su alcune previsioni.
  • 15 Giugno 2015 – Riunione del Consiglio Giustizia e Affari Interni in Lussemburgo per assumere un approccio generale definitivo al Regolamento Privacy UE.
  • 24 Giugno 2015 – Prima riunione a tre (trilogo) che si è tenuta a Bruxelles (previo accordo con la Commissione Europea e il Consiglio) per concordare sulla tabella di marcia generale per i negoziati del trilogo.
  • 14 Luglio 2015 – Secondo trilogo per discutere l’estensione territoriale e trasferimenti internazionali.
  • Settembre 2015 – Altre riunioni a tre (triloghi) per discutere i principi della protezione dei dati, i diritti degli interessati e degli obblighi di controllori e processori.
  • Ottobre 2015 – Le discussioni del trilogo si sono concentrate sulla protezione dei dati, le autorità cooperazione e la coerenza, e rimedi, responsabilità e sanzioni.
  • Novembre 2015 – Altre riunioni del trilogo a deliberare (1) gli obiettivi e materiale scopo di applicazione del regolamento, (2) la flessibilità per il settore pubblico e (3) i regimi di trattamento dei dati specifici.
  • Dicembre 2015 – Le ultime riunioni del trilogo dell’anno si sono concentrate sugli atti delegati e di esecuzione, disposizioni finali e tutte le altre questioni in sospeso.
  • Primo semestre 2016, approvazione definitiva e pubblicazione sulla Gazzetta Ufficiale della Comunità Europea.

Essendo un regolamento, questo è di immediato recepimento ed attuazione da parte di tutti i paesi membri della Comunità Europea. Però abbiamo due anni per adeguarci completamente alle sue direttive. Cosa succederà all’attuale legislazione?

Il d.lgs 196/03 verrà abrogato, ma alcuni articoli rimarranno validi come anche i provvedimenti specifici dell’autorità.

Il Regolamento è a carattere più generale, e non entra nel merito di alcuni aspetti regolamentati dalla legislazione locale (esempio videosorveglianza). Cerchiamo di non farci trovare impreparati allo scadere dei termini, non facciamo la fine della “rana bollita”.

La sindrome della “rana bollita” è questa: la rana, meglio il suo metabolismo non risente delle piccole variazioni d temperatura; messa in un recipiente con acqua e alzando la temperatura lentamente, essa non si accorge e rimane lessata. Viceversa se il gradiente termico è elevato ne risente subito. Dobbiamo quindi preparaci ed essere pronti.

Questo nuovo Regolamento, che non si discosta molto dalla legislazione vigente in Italia (Codice di trattamento dei dati personali dlgs 196/03 e s.a. nonché dei provvedimenti dell’Autorità) introduce delle novità interessanti ed importanti a tutela dei nostri dati.

Riportiamo, per informazione, il confronto tra alcuni articoli del d.lgs 196/03 e il nuovo Regolamento. Molti sono i punti in comune, anche se non propriamente allineati. Anzi possiamo affermare che il nuovo Regolamento europeo introduce pochi punti innovativi rispetto al d.lgs 196/03.

In particolare possiamo segnalare l’introduzione di alcuni articoli:

  • una maggior attenzione alla tutela dei dati dei minori;
  • un estensione dei dati definiti sensibili inglobando anche quelli biometrici e genetici
  • l’obbligo di “privacy impact assessment” (valutazioni preventive di impatto sulla tutela dei dati) in caso di trattamenti rischiosi; quindi una analisi dei rischi puntuale. Tra l’altro il testo del regolamento cita espressamente i parametri gravità e probabilità dell’evento;
  • l’obbligatorietà di nominare un “data protection officer” (responsabile della protezione dei dati personali), che dovrà essere competente, indipendente e non necessariamente interno all’ente/impresa; nei casi di trattamenti a rischio dei dati personal ma anche la facoltà (molto consigliata) di nominarlo per una corretta ed efficace gestione di un sistema privacy;
  • il diritto all’oblio, per cui ogni interessato potrà richiedere la rimozione di propri dati personali per motivi legittimi (per esempio, potremo chiedere di essere “dimenticati” on line);
  • la previsione delle figure dei “joint controllers” (titolari congiunti), che potranno “spartirsi” le responsabilità privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi: questa novità sarà d’aiuto, in particolare, nel settore del cloud computing providing (fino ad oggi difficilmente inquadrabile nei vecchi schemi titolare/responsabile);
  • la previsione del concetto di “stabilimento principale” del titolare, per evitare che un’impresa attiva in più Stati ue debba fronteggiare gli adempimenti nazionali di ogni singolo Stato;
  • la previsione del ruolo di “lead authority”, in modo tale che vi sia un solo Garante di volta in volta responsabile dei procedimenti multi-Stato;
  • sanzioni molto più pesanti, fino al 4% del volume d’affari globale di un’impresa (o 100.000.000 €), per assicurare che la privacy inizi a diventare un tema sensibile anche per i consigli di amministrazione di grandi colossi multinazionali;
  • l’introduzione del principio della cosiddetta “accountability”, per il quale ogni titolare, in caso di problemi o controlli, dovrà dimostrare nei fatti, al di là dei formalismi, di avere adottato i modelli organizzativi e le misure di sicurezza logiche, fisiche, elettroniche per proteggere i dati;
  • l’obbligo di attenersi, nell’ideazione di nuovi prodotti o servizi, ai principi della “data protection by design” e della “data protection by default”, cioè l’applicazione di principi di project managemen alla privacy, essa deve far parte del DnA di un’organizzazione;
  • i data breach, ovvero la segnalazione, entro 72 ore, di un trattamento non corretto e/oerrato, all’autorità ed all’interessato.

Si può quindi notare una forte attenzione sul ruolo centrale della tutela dei dati personali, come recita il considerando 3 bis del regolamento: 3 bis) Il Trattamento dei dati personali dovrebbe essere al servizio dell’uomo.

Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ottemperanza al principio di proporzionalità.

Il presente regolamento rispetta tutti i diritti fondamentali e osserva i principi riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea e sanciti dai trattati, in particolare il diritto al rispetto della vita privata e familiare, del domicilio e delle comunicazioni, il diritto alla protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, così come la diversità culturale, religiosa e linguistica. e sulle sicurezze intrinseche necessarie e su principali principi di ispirazione del trattamento dei dati personali.

Saremo pronti? Per completezza riportiamo l’infografica pubblicata dall’Autorità Garante per la tutela del dato personale.

 

A cura di: Stefano Gorla, Privacy Business Unit Director – Digital Preservation Officer Consultant Seen Solution SRL e delegato regionale Lombardia Andip

Condividi sui Social Network:

Ultimi Articoli