Nuovo Regolamento Europeo sulla tutela dei dati personali: analisi di tutte le novità e delle principali conseguenze per le imprese

Impatto sulle aziende del nuovo Regolamento Privacy

Nuovo Regolamento Europeo sulla tutela dei dati personali: analisi di tutte le novità e delle principali conseguenze per le imprese*.

Il 15 dicembre 2015 è stato definito il testo del nuovo Regolamento Europeo sulla tutela dei dati personali. Dal momento in cui diventerà esecutivo ci saranno due anni per adeguarsi, ma già da subito la nuova disciplina segna un punto di partenza fondamentale per le aziende, perché la natura trasversale della privacy (da diritto fondamentale a materia di business) avrà un impatto rilevante sulla gestione d’impresa: chi si farà trovare pronto e open minded guarderà il futuro con maggiori certezze, gli altri resteranno in coda.

Novità per le aziende

Il Regolamento prevede un unico insieme di norme valide in tutta l’UE, applicabile anche alle aziende extra-europee che offrono servizi o beni nel mercato europeo. Tale uniformità, nel garantire un’applicazione coerente delle norme di protezione dei dati in tutta l’UE, è stata pensata anche per incoraggiare le imprese ad una maggiore concorrenza leale ed a renderle maggiormente partecipi del mercato unico digitale.

Particolare rilevanza è data, sotto questi aspetti, al meccanismo del c.d. one-stop-shop, che permetterà ad una società attiva in più Stati membri di trattare solo con l’Autorità Garante dello Stato in cui ha il proprio stabilimento principale; con la conseguenza, in caso di controversie, di prevedere una sola decisione applicabile a tutto il territorio dell’Unione, riducendo i costi per la risoluzione di tali questioni e fornendo maggiore certezza del diritto.

Conformità

Sotto l’aspetto del trattamento dati, il Regolamento fonda la propria struttura applicativa su un approccio basato sul rischio, con particolare riferimento alla necessità del Privacy Impact Assessment: i titolari del trattamento dovranno essere in grado di implementare le misure di sicurezza tenendo conto dei risultati dell’analisi del rischio relativo alle operazioni di trattamento dei dati svolte all’interno dell’azienda. Proprio per tali ragioni, la nuova disciplina ha tenuto ben presente che diverse aziende svolgono differenti attività e rischi connessi alle stesse, che in termini di privacy possono variare di caso in caso. Un elevato rischio comporterà obblighi più stringenti. I titolari del trattamento dovranno attuare, quindi, tutta una serie di misure tecniche ed organizzative al fine di garantire ed essere in grado di dimostrare che il trattamento dei dati personali è effettuato in conformità al Regolamento; nel caso in cui, per esempio, si verifichino determinate ipotesi di c.d. data breach, ai titolari del trattamento saranno applicate specifiche e stringenti prescrizioni.

Responsabilità

Sotto il profilo della responsabilità, il Regolamento ha esaltato l’importanza dei concetti di privacy by design e privacy by default, come anche dell’importantissima figura del Data Protection Officer, figura che necessiterà di un percorso formativo adeguato e di alto profilo (anche perché per le Pubbliche Amministrazioni e le aziende che trattano dati particolarmente sensibili il DPO sarà obbligatorio). In caso di particolari violazioni le persone interessate, a certe condizioni, potranno presentare denunce presso un’Autorità Garante o proporre un ricorso giurisdizionale con esiti che per i quali i responsabili del trattamento potrebbero affrontare multe massime fino a € 20 milioni o 4% del loro fatturato annuo globale.

Sotto il profilo del trasferimento di dati personali al di fuori dell’UE, il Regolamento stabilisce che questo può avvenire a condizione che un certo numero di prescrizioni e garanzie vengano soddisfatte. Nuove decisioni di adeguatezza (si ricorda la recentissima problematica sul safe harbor) dovranno essere tra l’altro riesaminate almeno ogni quattro anni. Il Regolamento prevede poi che nel caso di rispetto di clausole rispondenti al modello UE non sarà necessaria una specifica autorizzazione da parte dell’Autorità Garante. Infine va rammentato che il Regolamento riconosce ufficialmente BCRs come un meccanismo valido per trasferire i dati personali al di fuori dell’UE.

Per approfondimenti: Regolamento Europeo sulla tutela dei dati personali

________

Avv. Emiliano Vitelli, Vice presidente Centro Europeo Privacy

Fonte: