Il nuovo Regolamento sulla privacy

Contributo n. 8/2018

Il 25/05/2018 è entrato in vigore, in ciascuno degli Stati Membri dell’Unione Europea, il Regolamento (UE) n. 2016/679, pubblicato sulla G.U. dell’Unione Europea addì 04/05/2016 – meglio noto come il GDPR (General Data Protection Regulation – recante la nuova disciplina sul trattamento e libera circolazione dei dati personali delle persone fisiche.

Alla luce di tale innovazione normativa, si appalesa cogente per le aziende e le Amministrazioni pubbliche capire con il Regolamento Europeo Privacy cosa cambia e come adeguarsi in tempo.

Al fine di comprendere, la portata ed i risvolti applicati della nuova normativa Privacy ripercorriamo brevemente l’excursus che ha occasionato l’intervento nei termini che seguono.

1) In materia di dati personali, per lungo tempo, la disciplina di riferimento è stata rappresentata dalla Direttiva n. 65/46/CE che aveva come finalità principalmente quella di armonizzare le normative nazionali sul trattamento dei dati, nonché quello di assicurare un livello di tutela equivalente così da favorire ed assicurare la circolazione dei dati e conseguentemente lo sviluppo del mercato interno.

Nel gennaio 2012, la Commissione Europea ha proposto l’adozione di un nuovo Regolamento Europeo Privacy e il Consiglio Europeo, allora, si è orientato per l’adozione entro l’inizio del 2016.

Il GDPR, come indicato dalla stessa Commissione UE, risponde alla odierna necessità di soddisfare le esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo.

In buona sostanza, il nuovo testo Privacy costituisce una risposta, necessaria ed urgente, alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini UE.

Dopo un lungo lavoro congiunto di Parlamento, Commissione e Consiglio, nell’aprile 2016 il Consiglio Europeo ed il Parlamento Europeo hanno adottato il testo definitivo del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola il trattamento dei dati personali, pubblicati sulla Gazzetta Ufficiale dell’Unione Europea il successivo 04/05/2016.

Il Regolamento conferisce agli Stati Membri la possibilità di “precisare” le norme comunitarie con discipline integrative, prefigurandosi pertanto un buon grado di eterogeneità.

2) Il GDPR, fonte regolamentare self-executing, è entrato in vigore prima che il Governo esercitasse la delega: l’adeguamento normativo, invero, in Italia è intervenuto in ritardo rispetto al termine assegnato dal Legislatore comunitario per realizzare l’adattamento delle normative nazionali.

Di conseguenza una simile attività, svolta in un ristretto arco temporale e non prevedendo una espressa abrogazione del Codice della Privacy, ha dato quale risultato un testo normativo di non facile comprensione e consultazione.

Ed invero, in Italia il D. Lgs. 10 agosto 2018, n. 101 (in attuazione della legge delega 25 ottobre 2017, n. 163), dettando le disposizioni di adeguamento del codice della Privacy al regolamento sulla protezione dei dati, ha sostituito la L. n. 675/1996 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) e il successivo “Codice in materia di protezione dei dati personali” emanato con D. Lgs. n.196/2003 del 30/06/2003 (meglio noto come Codice della Privacy).

La novella normativa è distribuita in 11 Capi, articolati a loro volta in sezioni per mezzo dei quali vengono individuati l’oggetto, le finalità, l’ambito di applicazione, i principi per l’applicazione del trattamento dei dati, i diritti dell’interessato, obblighi del responsabile del procedimento, il trasferimento dei dati, la tutela dell’interessato, ecc.

In estrema sintesi col GDPR:

Si introducono regole più chiare su informativa e consenso;
Vengono definiti i limiti al trattamento automatizzato dei dati personali;
Si pongono le basi per l’esercizio di nuovi diritti;
Si stabiliscono criteri rigorosi per il trasferimento degli stessi al di fuori dell’UE;
Vengono fissate norme rigorose per i casi di violazione dei dati (data breach)
Si persegue il raggiungimento di standards di tutela elevati attraverso l’istituzione di autorità indipendenti nazionali.

Le norme si applicano anche alle imprese situate fuori dall’Unione Europea che offrono servizi o prodotti all’interno del mercato UE. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti hanno più responsabilità e, in caso di inosservanza delle regole, rischiano pesanti sanzioni.

3) Per completezza, di seguito, si elencano alcune novità contenute nel decreto:

One stop shop (sportello unico)

Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme.

Le imprese che operano in più Stati UE potranno rivolgersi al Garante della Privacy del Paese dove hanno la loro sede principale.

Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:

La designazione in tempi stretti del Responsabile della protezione dei dati;
L’istituzione del Registro delle attività di trattamento;
La notifica dei data breach.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamento a un altro. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personali verso Paesi extra UE o organizzazioni internazionali che non rispondono agli standards di sicurezza in materia di tutela.

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Questo nuovo diritto faciliterà il passaggio da un provider di servizi all’altro, agevolando la creazione di nuovi servizi, in linea con la strategia del Mercato Unico Digitale.

Data breach GDPR

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante e rispondere in modo efficace a un data breach per il GDPR. Si richiede pertanto un approccio multidisciplinare ed integrato ed una maggiore cooperazione a livello UE.

Registro dei trattamenti dei dati personali

Il primo adempimento da porre in essere per le imprese e le pubbliche amministrazioni italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, constatata l’importanza ed il valore di simili notizie, nonché tenuto conto che conseguono ingenti danni economici legati a una perdita di informazione. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone:

Il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni;
Potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio. In questo ultimo caso dovrà provvedere con una comunicazione pubblica;
L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

La figura del DPO (Data Protection Officer) art. 37 e ss.

Il “Responsabile della protezione dei dati” (Data Protection Officer o DPO), è colui il quale è incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti ed individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Il Responsabile della protezione dei dati:

Riferisce direttamente al vertice,
E’ un ufficio indipendente ed autonomo, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
Gli vengono attribuite risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento.

Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori specifici, che possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanto importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.

I dodici nuovi diritti per il cittadino con il GDPR

Il Capo III del GDPR è dedicato ai “diritti dell’interessato” e si prefigge lo scopo di delineare rapporti, poteri, diritti spettanti al soggetto che autorizza il trattamento dei propri dati affinché la comunicazione degli stessi non si esaurisca al solo momento del consenso, bensì perduri nel tempo al fine di garantire una adeguata protezione. La vera novità che arriva con il GDPR è quella relativa al diritto all’oblio disciplinato nell’articolo 17, in cui viene precisato che la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici i dati comporta anche l’obbligo di trasmetterla a tutti coloro che li utilizzano.

I poteri dell’autorità di controllo (Garante della privacy)

Il GDPR (art. 57 e 58) conferisce all’Autorità di controllo poteri:

di indagine: le autorità nazionali possono ingiungere al responsabile del trattamento, nonché dal titolare del trattamento, di fornire ogni informazione necessaria per il pieno svolgimento dei suoi compiti istituzionali;
correttivi: le autorità nazionali possono avvertire il titolare del trattamento sui rischi conseguenti le violazioni del regolamento, possono ammonirlo in caso di avvenuta violazione, nonché obbligarlo a conformarsi ai dettami regolamentari;
autorizzativi e consultivi: viene riconosciuto alle autorità di controllo il potere di consulenza al titolare del trattamento, la competenza all’accreditamento degli organismi di certificazione, ecc. oltre al potere di infliggere sanzioni amministrative pecuniarie.

L’obiettivo è, infatti, quello di raggiungere, a livello europeo, standards di tutela elevati anche in considerazione del fatto della trasversalità dell’attività svolta dalla autorità di controllo, esercitata sia nei confronti del settore privato, sia nei confronti del settore pubblico. Ciò rende ancor più evidente la necessità di perseguire ed ottenere un livello di uniformità dei compiti delle autorità di controllo.

Privacy e Trasparenza con il GDPR

Il GDPR potrà avere riflessi anche sul tema del rapporto tra privacy e trasparenza, in considerazione del fatto che si tratta di soggetti privati che svolgono funzioni di pubblico interesse. In questo contesto, è importante sottolineare come il nuovo regolamento non modifichi direttamente le norme nazionali in materia di accesso ai documenti amministrativi, né quelle attualmente applicate alle innumerevoli istituzioni europee. Si preoccupa invece di chiarire l’assenza di un rapporto di contraddizione, in quanto i valori di “trasparenza” e di “tutela efficace della riservatezza” sono considerati entrambi meritevoli di efficace protezione.

Il principio di coerenza

Il principio di coerenza o Consistency mechanism per effetto del quale le autorità di controllo cooperano tra loro, garantisce l’esercizio di un ruolo consultivo rispetto alle singole autorità nazionali e consente di risolvere i conflitti insorgenti tra le autorità indipendenti nazionali. Individua quindi un meccanismo di “soluzione dei conflitti” e non tanto un modo di concertazione delle decisioni.

Si è cercato di riassumere in pochi punti i tratti essenziali ed innovativi di questa normativa che, in controtendenza rispetto al principio generale di integrazione amministrativa europea, ha provveduto ad aumentare i poteri delle autorità di controllo degli Stati Membri, consentendo una applicazione decentrata del Regolamento.

Team responsabile dell’attività di formazione e aggiornamento normativo e giurisprudenziale

L	M	M	G	V	S	D
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30
« Mar				Mag »

Il nuovo Regolamento sulla privacy

Leave a Comment Annulla risposta

Caffè MIDA

A scuola con Allievi MIDA

Vi aspettiamo!

Allievi MIDA go!

Centri di collaborazione

Seguici

Agenda

Archivio

Articoli recenti