La “privacy europea”, il Regolamento UE 2016/679

Posted by on Lug 8, 2017 in Privacy | 0 comments

A distanza di quasi 20 anni dall’entrata in vigore della prima legge italiana in materia di privacy, lo scorso 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 (in seguito anche il “Regolamento”), che entrerà in vigore il prossimo 25 maggio 2018.

            Tale Regolamento si inserisce all’interno di quello che è stato definito il “Pacchetto europeo protezione dati” e gli Stati membri, sebbene il Regolamento non abbia bisogno di recepimento in quanto direttamente vincolante, hanno due anni per adeguare le proprie normative interne nonché, le aziende, per essere sensibilizzate alle novità introdotte.

Le novità introdotte con il Regolamento riguarderanno, dal punto di vista delle aziende (i c.d. “titolari” del trattamento dei dati personali) tutte quelle che avendo uno stabilimento all’interno dell’UE, trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell’UE stessa.

Dal punto di vista, invece, delle persone fisiche (i c.d. “interessati” al trattamento dei propri dati) la nuova normativa si applicherà a tutti i soggetti presenti nell’UE anche quando, sebbene l’azienda titolare del trattamento non abbia uno stabilimento in territorio UE, il trattamento stesso riguardi:

  • l’offerta di beni o la prestazione di servizi ai soggetti interessati o
  • il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno dell’UE.

Tra le prime novità, merita sicuramente attenzione particolare una nuova figura che va ad affiancarsi alle figure previste dal nostro Codice Privacy. Il Data Protection Officer (“DPO”), il “responsabile della protezione dei dati” dovrà essere obbligatoriamente presente all’interno di tutte:

  • le aziende pubbliche nonché in tutte quelle ove i trattamenti presentino specifici rischi;
  • le aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli “interessati”, su larga scala;
  • e quelle che trattano i c.d. “dati sensibili”.

Il DPO, inoltre, potrà essere un dipendente della società titolare del trattamento o, in alternativa, assolvere i propri compiti in base ad un contratto di servizi. Ad ogni modo, ogni azienda dovrà rendere noti i dati del proprio DPO – il quale dovrà essere contattabile da tutti i soggetti “interessati” – nonché comunicarli al locale “Garante per la protezione dei dati personali”.
Il DPO sarà tenuto a:

  • informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento;
  • verificare l’attuazione e l’applicazione della normativa, oltre alla sensibilizzazione e formazione del personale e dei relativi auditors ;
  • fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
  • fungere da punto di contatto per gli “interessati”, in merito a qualunque problematica connessa al trattamento dei loro dati nonché all’esercizio dei loro diritti;
  • fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

Altra novità di rilievo, è l’introduzione dell’obbligo, per ogni azienda titolare del trattamento dei dati, di tenere un “registro delle attività di trattamento” svolte sotto la propria responsabilità, nonché quello di effettuare una “valutazione di impatto sulla protezione dei dati”. Tale documento è richiesto in relazione:

  • ai trattamenti automatizzati, ivi compresa la profilazione,
  • o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.

Ancora, andando a concludere, il Regolamento:

  • riconosce espressamente il “diritto all’oblio”, ovvero la possibilità per l’interessato di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o quando si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento;
  • stabilisce il diritto alla “portabilità dei dati”, in virtù del quale l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti, qualora l’interessato abbia fornito il proprio consenso al trattamento o se questo sia necessario per l’esecuzione di un contratto;
  • sancisce il principio di “accountability”, per cui il titolare dovrà dimostrare l’adozione di politiche privacy e misure adeguate in conformità al Regolamento;
  • introduce il principio della “privacy by design” (dal quale discende l’attuazione di adeguate misure tecniche e organizzative sia all’atto della progettazione che dell’esecuzione del trattamento) nonché quello della “privacy by default” (che ricalca il principio di necessità di cui all’attuale disciplina, stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini).

Infine, per quanto concerne il “sistema sanzionatorio”, il Regolamento ha aumentato l’ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.