Approvato il nuovo Regolamento Europeo della privacy

Un voto atteso da anni
Con il voto finale del Parlamento Europeo si è finalmente concluso un percorso lungo più di 4 anni e il nuovo Regolamento costituisce una vera e propria revisione completa di quanto prodotto fin qui dalla UE sul tema della tutela della riservatezza dei dati. Il nuovo Regolamento infatti va a sostituire la vecchia direttiva che risaliva addirittura al 1995, epoca in cui l’Internet e tutto il mondo della comunicazione digitale era solo agli albori.

Cosa cambia
Il nuovo Regolamento, che in Italia va a sostituire il Codice della Privacy (D.Lgs. 196/2003), ci darà una maggiore capacità di controllo sulle nostre informazioni personali, infatti sono previste nuove regole sul diritto all’oblio, sul consenso chiaro ed informato al trattamento dei dati personali, sul diritto di trasferire i dati ad un altro fornitore di servizi, e quello di essere informati quando i propri dati sono stati violati, ma anche sull’obbligo per le imprese di utilizzare un linguaggio chiaro e comprensibile nelle informative sulla privacy, con multe che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dei trasgressori.

Per quanto concerne le piccole medie imprese (ovvero quelle con meno di 250 dipendenti), non sussisterà l’obbligo di procedere alla nomina del “data protection officer”, a meno che le attività principali del responsabile o dell’incaricato non consistano in trattamenti che richiedono il controllo regolare e sistematico dei dati degli interessati. Gli Stati membri potranno, comunque, prevedere l’obbligatorietà del “data protection officer” anche al di là dei casi di obbligatorietà previsti dal Regolamento.

Inoltre, le piccole medie imprese non avranno neppure l’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati (“privacy impact assessment”), tranne nel caso in cui il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche. In tal caso il responsabile dovrà preventivamente consultare l’Autorità di controllo.

È stato altresì introdotto il concetto di “privacy by design” e “privacy by default”: il primo fa riferimento all’obbligo di tutelare i diritti dell’interessato nell’attività di trattamento fin dalla fase della progettazione e per l’intera gestione del ciclo di vita dei dati, ponendo in essere misure di carattere tecnico ed organizzativo quali la minimizzazione e la pseudonimizzazione. Esso riprende il principio di necessità nel trattamento dei dati contenuto all’interno del Codice Privacy, in base al quale è necessario ridurre al minimo l’utilizzazione di dati personali e di dati identificativi dell’interessato. Il secondo attiene al fatto che le impostazioni predefinite devono essere quelle che garantiscono il maggior rispetto della privacy, affinché i dati personali non siano resi accessibili ad un numero indefinito di persone senza l’intervento umano.

Il Regolamento ha poi apportato delle modifiche per quanto attiene ai soggetti che effettuano il trattamento dei dati: il “data controller”, definito responsabile del trattamento, sarà l’attuale titolare, dotato di un potere decisionale in ordine alle tecniche da adottare e alle misure organizzative, al fine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati. Il “data processor”, definito incaricato al trattamento, sarà l’attuale responsabile e potrà procedere al trattamento dei dati solo su istruzione del responsabile. Compaiono, poi, anche altri soggetti, i quali agiscono solo sotto l’autorità del “data controller”, se non diversamente disposto da normative dell’Unione o di uno Stato membro.

L’accordo prevede per la prima volta la possibilità di rilasciare al responsabile o all’incaricato una certificazione, da parte di un organismo accreditato, la quale dimostri la conformità al Regolamento delle operazioni di trattamento dei dati, senza tuttavia ridurre in tal caso la responsabilità del responsabile o dell’incaricato.

Infine, in materia di misure di sicurezza, occorre rilevare come il Regolamento non contenga il concetto di misure minime, contrariamente a quanto previsto all’interno del Codice Privacy. Sono infatti elencati esempi di misure idonee per garantire un appropriato livello di sicurezza, come l’uso di pseudonimi o la criptazione dei dati.

Il Provvedimento, con le sue nuove ed uniformi regole, consentirà l’armonizzazione della normativa sulla privacy all’interno dell’Unione Europea. Dal momento in cui verrà approvato il nuovo Regolamento, scatterà un periodo di vacatio di due anni, anche per consentire alle imprese ed alla pubblica amministrazione di adeguarsi alle nuove regole.

Una serie di principi guida rivolti alle imprese operanti nell’ Unione sono intesi allo sviluppo di un mercato unico europeo: le imprese beneficeranno di un “più armonico quadro normativo” e di uno sportello unico di riferimento sia per le imprese europee, che per quelle che operano all’interno dell’Unione pur risiedendo fuori dal continente.

Ad ogni modo, le disposizioni dell’accordo potranno essere specificate o limitate dal diritto degli Stati membri, al fine di garantire una maggiore coerenza con la legislazione nazionale. Ciò vale, ad esempio, nei casi di violazione del Regolamento, potendo essere fissate sanzioni ulteriori con riferimento alle infrazioni non soggette a sanzioni amministrative. Un rinvio alla legislazione nazionale degli Stati membri è fatto anche rispetto al trattamento dei dati nell’ambito dei rapporti di lavoro, potendo essere fissate norme più specifiche per finalità di assunzione, esecuzione del contratto di lavoro, gestione, pianificazione del lavoro. Ancora, ulteriori specificazioni possono essere realizzate con riferimento al trattamento di “speciali categorie di dati personali”, ovvero i dati genetici, biometrici o relativi alla salute.

I prossimi passi
Il nuovo Regolamento Europeo sarà pubblicato nei prossimi giorni nella Gazzetta Ufficiale dell’Unione Europea ed entrerà in vigore 20 giorni dopo la pubblicazione.
Il nuovo Regolamento è immediatamente applicabile in tutti gli Stati membri dell’Unione entro due anni dalla pubblicazione.
Non sarà pertanto necessario che il nostro legislatore produca alcun atto di recepimento.

fonte: www.nonprofitonline.it

Stampa o condividi