Il nuovo regolamento europeo per la Privacy

DAL 2016: IL NUOVO REGOLAMENTO EUROPEO PER LA PRIVACY. Superato in questi giorni anche l’ultimo ostacolo alla definitiva approvazione da parte del Parlamento europeo al nuovo Regolamento sulla protezione dei dati. La votazione plenaria prevista per i primi di gennaio 2016. Le più importanti novità.

Le norme attualmente in vigore in materia di privacy (95/46/EC) risalgono al 1995 e sono state recepite dal legislatore italiano nel 1996 (L. 675/96) e successivamente modificate nel 2003 (D.Lgs. 196/03).

 

Dopo quasi 4 anni da quando era stato presentata la proposta dalla Commissione UE nel gennaio del 2012, durante i negoziati, il 15 dicembre 2015, con Parlamento e Consiglio (c.d. “trilogo”) è stato finalmente trovato l’accordo per il nuovo Regolamento europeo sulla protezione dei dati, che introdurrà un’unica legislazione in tutte e 28 nazioni dell’UE.

 

Il regolamento che andrà a sostituire la direttiva del 1995 non dovrà essere recepito dai singoli stati membri, ma sarà pienamente operativo dal momento in cui verrà approvato dal Parlamento Europeo e dal Consiglio. La direttiva sulla protezione dei dati personali avrà per oggetto le finalità di prevenzione e investigazione in caso di reati penali. Sull’apparato sanzionatorio interverrnno successivamente i singoli Paesi.
Si tratta, dunque, più di una semplice revisione alla normativa in vigore: oltre alla revisione delle norme attuali alla luce dell’esperienza maturata nell’ultimo quindicennio, si è tenuto conto delle indicazioni del trattato di Lisbona, che ha allargato il diritto alla privacy dal primo pilastro, che riguarda la libertà di circolazione delle persone, al secondo e soprattutto al terzo pilastro, relativi rispettivamente alla politica estera e alla sicurezza pubblica.
Il Nuovo Regolamento punta anche a stabilire un quadro legislativo comune per il mercato unico europeo, limitando le difficoltà a cui un’impresa, che opera a livello transnazionale, deve fare fronte: normative differenti e disparate decisioni prese dalle authority nazionali. Ciò non esclude, tuttavia che le autorità o i legislatori nazionali possano prendere decisioni valide per i singoli stati membri.

 

Cosa prevederà il nuovo Regolamento:

  1. Per ogni questione legata alla protezione della privacy, le imprese e i cittadini dovranno interfacciarsi con un unico punto di contatto, il “one-stop-shop“. Per implementare questo sistema ed esercitare il nuovo ruolo, le autorità nazionali saranno dotate di poteri e risorse; inoltre sarà rafforzato il coordinamento tra le authorities nazionali per verificare il rispetto della legge.
  2. Le nuove norme interesseranno tutti quei soggetti che sono chiamati a trattare i dati su clienti e personale interno e a mantenere un database.
  3. All’art. 5 lett. f) viene sancito il principio dell’accoountability dei titolari del trattamento (poi meglio specificato nell’art. 22)  in virtù del quale spetta agli stessi un obbligo generalizzato e preventivo di garantire e dimostrare la propria conformità al Regolamento in relazione ad ogni singolo trattamento operato (si tratta di una sorta di clausola generale volta a responsabilizzare i controller sin dalle fasi embrionali dei processi informativi).
  4. Imprese ed enti pubblici dovranno introdurre la figura del data protection officer (o privacy officer = Responsabile del Trattamento dei dati personali aziendali) a cui affidare le policy in materia di protezione dei dati: in campo pubblico la nuova struttura sarà sempre obbligatoria, mentre le aziende private se ne dovranno dotare nel caso trattino un certo numero di contatti.
  5. Sarà richiesto alle aziende di ottenere “specifici e espliciti” forme di consenso dagli utenti nelle operazioni di archivio dei dati. L’art. 6 lett. a) introduce uno degli istituti fondanti la presente disciplina, ovvero il diritto dell’utente di esprimere in maniera preventiva il consenso al trattamento delle proprie informazioni, principio necessario ed inderogabile al fine di limitare e contenere il più possibile fenomeni di massa quali il direct profiling  e il tracking cookies (si renderà necessaria, presumibilmente, l’adozione di idonei filtri pop-up volti a saggiare la previa approvazione del soggetto interessato). Il Titolare, inoltre, sarà gravato dall’onere di fornire la prova del consenso di quello specifico trattamento autorizzato (art. 7, comma 1), il quale tra l’altro potrà sempre essere revocato dal soggetto cui i dati si riferiscono. Si codifica, in tal senso, il principio dell’inversione dell’onere probatorio circa la liceità del trattamento (mutuando l’attuale impostazione derivante dal combinato disposto degli art. 2050 c.c. e 15 D.Lgs. 196/2003).
    Alla regola del consenso si affianca, poi, quella sulla trasparenza dell’informazione da fornire all’interessato (art. 11), la quale dovrà contraddistinguersi anche per facilità di consultazione e intellegibilità di forma (l’onere dell’informativa all’interessato, invece, è codificato nell’art. 14, il quale sostanzialmente riproduce il nostro ormai conosciutissimo art. 13 D.Lgs. 196/2003).
  6. Sarà previsto un obbligo di adottare misure tecnologiche (privacy by design) che riducano di default il trattamento dei dati personali al minimo necessario anche riguardo al periodo massimo di conservazione e ai soggetti che possono avere accesso ai dati. Questò avrà un forte Impatto nello sviluppo di software destinati al trattamento dei dati (CRM, ERP, gestionali ecc.) e sul rinnovamento di tutto il parco informatico delle imprese e studi professionali.
  7. Sarà sancito l’obbligo di conservare documenti contenenti una serie di informazioni volte a descrivere le operazioni di trattamento di dati personali gestite tanto dal titolare quanto dati responsabili del trattamento (qualcosa di simile all’attuale DRSP, ma di portata ancora più ampia).
  8. Per le imprese sarà più facile trasferire i dati all’estero facendo leva sulle proprie regole interne.
  9. Diventerà obbligatorio notificare eventuali perdite di informazioni(cosiddette serious breaches).
  10. Sarà posta particolare attenzione al trattamento dei dati personali che circolano sul web:
  • diritto all’oblio, cioè la possibilità di non trattenere vita natural durante le informazioni nella memoria della rete, ma di poterle cancellare, soprattutto quando diventate obsolete;
  • l’uso dei cookies (i “biscottini” che molti siti utilizzano per capire le preferenze dei loro utenti)
  • l’ingresso e l’uscita dai social network con la codificazione della portabilità del profilo (“data portability“) da parte di chi si sposta
  • la definitiva affermazione che l’indirizzo IP è un dato personale
  1. Infine prevederà l’eliminazione dell’obbligo per il Titolare di notificare i propri trattamenti all’Autorità  Garante (sarà sufficiente , infatti, la conservazione della documentazione comprovante le modalità del singolo trattamento).

Il Regolamento interverrà, infine, su come dovranno essere utilizzate le informazioni personali nel corso di attività di polizia o durante indagini da parte della magistratura e quali deroghe alla riservatezza dovranno essere accordate. Indicazioni che attualmente sono già contenute nel Codice della privacy (D.Lgs. 196/03), che dovrà, pertanto, essere profondamente rivisto da parte del  legislatore, in collaborazione con il Garante.

 

Ulteriore misura è la predisposizione di un regolamento di protezione dei datial fine di costituire un sistema completo per la gestione della sicurezza nella tecnologia dell’informazione secondo quanto previsto dagli standard ISO/IEC 27001. La norma è coerente con il sistema di gestione della qualità ISO 9001 e grazie al sistema è possibile ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati stessi di accesso non autorizzato o di trattamento non consentito. Si intende così proteggere l’organizzazione dalla commissione dei reati presupposto per la responsabilità amministrativa quali delitti informatici e trattamento illecito di dati ai sensi dell’articolo 24 bis del D.Lgs. 231/2001.