Tonucci News
5.05.2016

Il nuovo Regolamento privacy europeo

E’ stato pubblicato in data odierna sulla Gazzetta Ufficiale dell’Unione Europea il Regolamento (UE) in materia di protezione e libera circolazione dei dati personali.

Applicabile nei Paesi membri a decorrere dal 25 maggio 2018 il Regolamento lascia a tutti i soggetti interessati un biennio per gli adeguamenti necessari alle politiche del trattamento dei dati.

Il Regolamento sostituirà pertanto, per quanto concerne il nostro Paese, l’applicazione del “Codice Privacy” in vigore dal 1 gennaio 2004.

IL FATTO:

In data odierna è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. Si conclude così l’iter legislativo iniziato nel gennaio 2012 con la presentazione di una proposta di Regolamento destinata a sostituire la Direttiva 95/46/CE.

Il Regolamento entrerà in vigore il 25 maggio 2016 senza necessità di recepimento con atti nazionali e sarà applicabile in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento che offre una disciplina in tema di privacy uniforme e valida in tutta Europa, al fine di assicurare un livello coerente ed elevato di protezione e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione Europea.

Il Regolamento sostituirà quindi in Italia l’applicazione del “Codice Privacy” (D.Lgs. 196/2003) in vigore dal 1 gennaio 2004.

Molte le novità introdotte dal Regolamento, in primis il fatto che le sue disposizioni si applicheranno anche ai trattamenti effettuati da titolari non stabiliti nell’Unione laddove (i) i trattamenti siano inerenti dati personali di interessati che si trovano nell’Unione, e (ii) indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione, qualora i trattamenti siano relativi all’offerta di beni o servizi ai suddetti interessati, o tali da consentire il monitoraggio di comportamenti che abbiano luogo nel territorio dell’Unione.

Ma non solo. Il Regolamento sancisce a carico dei titolari del trattamento obblighi di informativa rafforzati  rispetto a quanto avviene ora con l’art. 13 del Codice della privacy (con numerose informazioni aggiuntive da fornire agli interessati ai sensi degli art. 13 e 14 del Regolamento), prevede espressamente il diritto alla revocabilità in qualsiasi momento del consenso dato; introduce il diritto alla portabilità dei dati personali, che potranno quindi essere trasferiti in modo agevole da un titolare del trattamento ad un altro; stabilisce una maggior facilità nell’accesso ai propri dati; codifica per la prima volta espressamente il diritto all’oblio e ne detta una compita disciplina (art. 17 del Regolamento) ; introduce a livello generale il diritto di essere informati nel minor tempo possibile di determinate violazioni inerenti i propri dati personali (cui corrisponde l’obbligo per i titolari del trattamento di notifica della violazione all’Autorità garante: la notifica del c.d. “data breach” viene estesa a tutti i titolari del trattamento e non solo – come avviene ora – ai soli fornitori di servizi di comunicazione elettronica accessibili al pubblico); detta una specifica disciplina circa la profilazione consenziente ovvero il diritto a che le operazioni di profilazione automatizzata delle proprie abitudini e/o comportamenti siano precedute dal consenso esplicito dell’interessato, con una tutela rafforzata a quanto già ora avviene.

Di grande impatto per le imprese – che dovranno tenere un nuovo documento generale interno, cioè il “Registro dei trattamenti” (art. 30)  – sarà l’applicazione di una serie di nuovi principi, quali ad esempio:

  • il principio c.d. dell’accountability (art. 35, “Valutazione d’impatto sulla protezione dei dati”) secondo cui quando il trattamento prevede in particolare l’uso di nuove tecnologie e considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali e la documenta;
  • i principi noti come “privacy by design” e “privacy by default” (art. 25 del Regolamento “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”) cioè la previsione di misure tecniche ed organizzative volte alla protezione dei dati personali già al momento della progettazione di un nuovo prodotto o software e la previsione a monte di misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita del prodotto o del software, solo i dati personali necessari per ogni specifica finalità del trattamento

Nuova anche la figura del c.d. Data Protection Officer (DPO), ossia una figura prevista dall’art. 37 del Regolamento, interna o esterna all’azienda, e del tutto diversa dal responsabile del trattamento previsto dal Codice della privacy. Si tratta difatti di una figura estremamente specializzata nel settore della data protection, dotato di completa autonomia (ivi incluso il potere di spesa)  che sovrintenda, valuti ed organizzi la gestione e protezione dei dati nell’ambito del trattamento svolto. L’obbligo di nomina del DPO non è generale ma relativo a titolari del trattamento pubblici e a titolari del trattamento privati le cui attività principali comportino su larga scala trattamenti di dati sensibili, sanitari, genetici o biometrici o trattamenti di dati personali che, in forza della loro natura, ambito di applicazione e/o finalità, richiedano un monitoraggio sistematico su larga scala degli interessati. Una scheda informativa in merito alla nuova figura può essere visionata qui, sul sito del Garante per la protezione dei dati personali.

Infine, importante l’aumento delle sanzioni amministrative, che potranno raggiungere la soglia di 20 milioni di euro o del 4% del fatturato mondiale totale annuo dell’esercizio precedente del trasgressore, se superiore: l’apparato sanzionatorio costituisce di certo un forte incentivo al rispetto della nuove prescrizioni.

Nelle prossime release della presente Newsletter si andranno ad approfondire le novità ed aspetti principali del Regolamento (UE) 2016/679, alcuni dei quali sono stati indicati in questa sede.

PERCHE’ E’ IMPORTANTE:

Il nuovo Regolamento europeo rafforzerà il livello di protezione dei dati personali garantendo maggiori opportunità e tutele per cittadini e imprese, adeguando ed uniformando una normativa europea che risale ormai agli anni 90, cioè ad un’epoca in cui molte delle nuove tecnologie attuali non esistevano e Internet era ancora ai suoi albori.

5.08.2019
press

Italia – Russia, rapporti stretti.

Pasquale Silvestro
Intervento dell’Avv. Pasquale Silvestro di Tonucci & Partners su Italia Oggi – Affari Legali dedicato ai rapporti economici tra Italia [...]