lunedì 7 maggio 2018

"VERSO IL 25 MAGGIO: REGOLAMENTO EUROPEO SULLA PRIVACY"


Risultati immagini per PRIVACY IMMAGINI
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati -  e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati - General Data Protection Regulation o GDPR) - , è la normativa di riforma della legislazione europea in materia di protezione dei dati (pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, ma la sua attuazione è avvenuta lo scorso  25 maggio 2018).
Con lo scopo, in quanto direttamente applicabile, di armonizzare la regolamentazione in materia di protezione di dati personali all’interno dell’UE, tale regolamento necessiterà comunque di chiarimenti normativi su alcuni aspetti, come, ad esempio, sui poteri dell’Autorità Garante nazionale.
Il “dato personale” sta sempre più rivestendo un carattere che si potrebbe definire “economico”, in quanto le aziende, sulla base dello stesso, riescono a raggiungere potenziali clienti e, finanche, ad intercettare le loro preferenze di acquisto, al fine di poter poi predisporre delle offerte ad hoc, modellate sui dati di cui sono in possesso. Le nuove tecnologie, poi, hanno permesso di raggiungere un numero sempre maggiore di soggetti. Pertanto, le politiche e le norme a tutela del consumatore, rivestono aspetti che meritano una tutela costante. Da questo punto di vista si deve dare atto del lavoro svolto dalla Autorità Garante che, nel corso degli anni, ha dato prova di una lettura dinamica del mutamento che si stava realizzando in tale ambito, anche a fronte dell'utilizzo delle nuove tecnologie.
Sul punto di importanza fondamentale appare la sentenza resa dalla Corte di Giustizia dell'Unione Europea nella decisione del 13 maggio 2015, C- 131/12, Google Spain, che ha sancito il diritto degli interessati alla deindicizzazione dei dati personali dai motori di ricerca; in altre parole, viene riconosciuto  il c.d. diritto all'oblio (right to be forgotten) (inteso come il diritto a vedere rimossi dal motore di ricerca i contenuti inadeguati) che ha stabilito che, per l'applicazione del diritto, si deve verificare in particolare se l’interessato abbia diritto a che l’informazione riguardante la sua persona non venga più collegata al suo nome da un elenco di risultati visibili al pubblico a seguito di una ricerca effettuata a partire dal suo nome.  
Art. 1 par. 2: “Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”: tale regolamento appare più esplicito rispetto alla direttiva 95/46, assurgendo la tutela del diritto alla protezione dei dati personali a diritto fondamentale delle persone fisiche.
Pare che il principio cardine sia, dunque l’autodeterminazione informativa, concetto ben noto in Germania, dove la Corte Costituzionale l’ha riconosciuto come condizione necessaria per il libero sviluppo della personalità del cittadino e come elemento essenziale di una società democratica.
Il nuovo regolamento pone l’accento sui principi di responsabilità e trasparenza: enfatizza la c.d accountability del titolare e dei responsabili del trattamento e tale responsabilizzazione deve esprimersi nell’adozione di comportamenti proattivi a dimostrazione di un’attuazione del regolamento che non sia meramente formale.
Infatti la novità sostanziale è data dal fatto che nel trattamento del dato personale, non ci si sofferma più solo sugli aspetti meramente formali della operazione, bensì deve operarsi una valutazione del rischio derivante dal trattamento. Si deve prevenire, in altre parole, il rischio di ledere i diritti e le libertà fondamentali degli interessati, messe in pericolo dalla grande quantità di dati e trattamenti, che potrebbero rivelarsi lesivi delle sfere private del soggetto (Approccio risk based).
Un tale tipo di approccio ha, da un lato, il vantaggio di pretendere degli obblighi che possono andare anche oltre la mera conformità alla legge (più flessibile e adattabile al mutare delle esigenze e delle tecnologie), ma, dall’altro, lo svantaggio di delegare all’azienda la valutazione del rischio, rendendo più difficili le contestazioni in caso di violazioni. Inoltre, essendo considerato più rischioso il trattamento dei dati di un minore, viene implicitamente “degradata” la tutela del trattamento dati degli adulti; allo stesso modo, un approccio risk based, pone maggiore attenzione sul trattamento di una mole più consistente di dati, benché sia pacifico che anche il trattamento di un esiguo ammontare di dati può determinare un pregiudizio al singolo.
In definitiva, si tratta di un approccio che tiene in maggiore considerazione le esigenze delle aziende, rendendo meno burocratica la gestione dei dati, con l'evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi ultimi parametrati anche all'organizzazione della stessa.
Criteri specifici:
-         Privacy by design, in base a cui i prodotti e i servizi dovranno essere progettati fin dall’inizio in modo da tutelare la privacy degli utenti; vale a dire che il trattamento dei dati debba essere previsto e configurato fin dall’inizio prevedendo le garanzie per tutelare i diritti degli interessati;
-         Rischio del trattamento, inteso come valutazione dell’impatto negativo sulle libertà e i diritti degli interessati.
Le nuove norme, inoltre, prevedono:
-         Un più facile accesso per i cittadini alle informazioni riguardanti i propri dati, nonché le finalità e modalità di trattamento degli stessi;
-         Un diritto alla portabilità dei dati, che consentirà di trasferire i dati personali tra i vari servizi online;
-         L’istituzionalizzazione del diritto all’oblio (possibilità di ottenere la rimozione dei dati nel momento in cui venga meno l’interesse pubblico alla notizia);
-         L’obbligo di notifica, da parte delle aziende, di gravi violazioni dei dati dei cittadini;
-         Il principio del one stop shop o “sportello unico”, vale a dire che le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato in cui hanno la sede principale;
-         Multe fino al 4% del fatturato globale delle aziende in caso di violazioni delle norme
Nell'ambito del processo di responsabilizzazione del trattamento emerge la nuova figura del DPO (Data Protection Officer). Si rileva in questo caso una analogia con quanto già previsto per le aziende, in ambito penale, con il Modello Organizzativo disciplinato dal Dlgs 231/2001. Viene infatti creata una figura che deve rivestire un alto livello di professionalità e, al contempo, garantire imparzialità ed indipendenza.

      Ambito territoriale
Il Regolamento si applica a ogni trattamento che abbia ad oggetto dati personali e a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti, non solo nel territorio dell’UE, ma anche a coloro che in generale, offrendo beni e servizi, trattino dati di persone ivi residenti (art. 3 Regolamento).
Non viene applicato nei seguenti casi:
-         trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione; 
-         trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza); 
-         trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse; 
-         trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico. 



      Base giuridica del trattamento
I titolari del trattamento dovranno identificare la base giuridica del trattamento (ad es. il consenso dell'interessato) e documentarla, poiché da essa può scaturire, ad esempio, un rafforzamento di determinati diritti (es. rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso). 

Codice Privacy attuale
Nuovo Regolamento UE
Soggetti coinvolti
      Titolare del trattamento (chi svolge il trattamento e ne determina le finalità e modalità);
      Responsabile (incaricato al trattamento dal titolare);
      Incaricati al trattamento (ausiliari del responsabile.
L’autorità di controllo è il Garante della Privacy
Spariscono gli incaricati: al loro posto il regolamento cita i "soggetti autorizzati", senza specificare oltre.
Il Garante rimane l'autorità di controllo.
Viene aggiunto il Responsabile per la protezione dei dati (Dpo), consigliere dei titolari.
Principi
I principi generali nel trattamento dei dati personali sono:
- Necessità
- Liceità
- Correttezza
- Adeguatezza
- Trasparenza
- Pertinenza

Si aggiungono:
- Accountability (obbligo per il titolare di adottare le misure necessarie affinché le norme del regolamento siano rispettate, con la responsabilità di dimostrarlo)
- Privacy by design e by default (la tutela della privacy deve far parte dei sistemi sin dalla progettazione)
Obblighi di chi tratta i dati
- Informare l'interessato, raccogliere il consenso, se previsto, e avere l'autorizzazione per trattare dati sensibili;
- Notificare al Garante particolari tipi di trattamenti;
- Adottare misure minime di sicurezza
Si aggiungono regole specifiche per:
- Incarichi e deleghe
- Nomina del Dpo
- Tenuta del Registro dei trattamenti (ove richiesto)
- Organizzazione interna
- Sistemi tarati a priori per l'adempimento degli obblighi
Diritti degli interessati
- Accesso ai dati
- Cancellazione
- Trasparenza
- Possibilità di ricorso
- Informazione e informativa
Si aggiungono:
- Diritto all'oblio
- Diritto di ricevere i propri dati immediatamente e in forma intellegibile
- Ricorsi su trattamenti di ogni tipo che abbiano una relazione con la UE
Sanzioni
Le sanzioni amministrative, in base alla norma violata, vanno da mille a 120mila €. Può aggiungersi la pubblicazione, a spese proprie, del provvedimento su uno o più giornali. Se il fatto è reato, sono previste sanzioni penali che vanno da 6 mesi a 3 anni
Le sanzioni amministrative hanno un massimo che arriva al maggiore importo tra 20 milioni di Euro e il 4% del fatturato annuo di gruppo-
Gli Stati possono prevedere sanzioni penali.
Invariati poteri di verifica, controllo, raccomandazione e divieto di trattamenti illeciti.



Fabrizio Giulimondi

Nessun commento:

Posta un commento