Il Regolamento
(UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016,
relativo alla protezione delle persone fisiche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione di tali dati - e che abroga la
direttiva 95/46/CE (regolamento generale sulla protezione dei dati - General Data Protection Regulation o GDPR) - , è la normativa di riforma della legislazione europea in materia di protezione
dei dati (pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, ma la
sua attuazione è avvenuta lo scorso 25 maggio 2018).
Con lo
scopo, in quanto direttamente applicabile, di armonizzare la regolamentazione
in materia di protezione di dati personali all’interno dell’UE, tale
regolamento necessiterà comunque di chiarimenti normativi su alcuni aspetti,
come, ad esempio, sui poteri dell’Autorità Garante nazionale.
Il “dato personale” sta sempre più rivestendo un carattere che
si potrebbe definire “economico”, in quanto le aziende, sulla base dello
stesso, riescono a raggiungere potenziali clienti e, finanche, ad intercettare
le loro preferenze di acquisto, al fine di poter poi predisporre delle offerte
ad hoc, modellate sui dati di cui sono in possesso. Le
nuove tecnologie, poi, hanno permesso di raggiungere un numero sempre maggiore
di soggetti. Pertanto, le politiche e le norme a tutela del consumatore,
rivestono aspetti che meritano una tutela costante. Da questo punto di vista si
deve dare atto del lavoro svolto dalla Autorità Garante che, nel corso degli
anni, ha dato prova di una lettura dinamica del mutamento che si stava
realizzando in tale ambito, anche a fronte dell'utilizzo delle nuove tecnologie.
Sul
punto di importanza fondamentale appare la sentenza resa dalla Corte di
Giustizia dell'Unione Europea nella decisione del 13 maggio 2015, C- 131/12, Google
Spain, che ha sancito il diritto degli interessati alla deindicizzazione dei
dati personali dai motori di ricerca; in altre parole, viene riconosciuto il c.d. diritto all'oblio (right to be forgotten) (inteso come il
diritto a vedere rimossi dal motore di ricerca i contenuti inadeguati) che ha
stabilito che, per l'applicazione del diritto, si deve verificare in
particolare se l’interessato abbia diritto a che l’informazione riguardante la
sua persona non venga più collegata al suo nome da un elenco di risultati
visibili al pubblico a seguito di una ricerca effettuata a partire dal suo
nome.
Art. 1
par. 2: “Il presente regolamento protegge
i diritti e le libertà fondamentali delle persone fisiche, in particolare il
diritto alla protezione dei dati personali”: tale regolamento appare più
esplicito rispetto alla direttiva 95/46, assurgendo la tutela del diritto alla
protezione dei dati personali a diritto fondamentale delle persone fisiche.
Pare
che il principio cardine sia, dunque l’autodeterminazione informativa, concetto
ben noto in Germania, dove la Corte Costituzionale l’ha riconosciuto come condizione
necessaria per il libero sviluppo della personalità del cittadino e come
elemento essenziale di una società democratica.
Il
nuovo regolamento pone l’accento sui principi di responsabilità e
trasparenza: enfatizza la c.d accountability
del titolare e dei responsabili del trattamento e tale responsabilizzazione
deve esprimersi nell’adozione di comportamenti proattivi a dimostrazione di
un’attuazione del regolamento che non sia meramente formale.
Infatti
la novità sostanziale è data dal fatto che nel trattamento del dato personale, non
ci si sofferma più solo sugli aspetti meramente formali della operazione, bensì
deve operarsi una valutazione del rischio derivante dal trattamento. Si deve prevenire,
in altre parole, il rischio di ledere i diritti e le libertà fondamentali degli
interessati, messe in pericolo dalla grande quantità di dati e trattamenti, che
potrebbero rivelarsi lesivi delle sfere private del soggetto (Approccio risk based).
Un
tale tipo di approccio ha, da un lato, il vantaggio di pretendere degli
obblighi che possono andare anche oltre la mera conformità alla legge (più
flessibile e adattabile al mutare delle esigenze e delle tecnologie), ma,
dall’altro, lo svantaggio di delegare all’azienda la valutazione del rischio,
rendendo più difficili le contestazioni in caso di violazioni. Inoltre, essendo
considerato più rischioso il trattamento dei dati di un minore, viene
implicitamente “degradata” la tutela del trattamento dati degli adulti; allo
stesso modo, un approccio risk based,
pone maggiore attenzione sul trattamento di una mole più consistente di dati,
benché sia pacifico che anche il trattamento di un esiguo ammontare di dati può
determinare un pregiudizio al singolo.
In
definitiva, si tratta di un approccio che tiene
in maggiore considerazione le esigenze delle aziende, rendendo meno burocratica
la gestione dei dati, con l'evidente effetto che aziende di minori dimensioni
avranno minori obblighi, essendo questi ultimi parametrati anche
all'organizzazione della stessa.
Criteri
specifici:
-
Privacy
by design, in base a cui i prodotti e i servizi dovranno essere
progettati fin dall’inizio in modo da tutelare la privacy degli utenti; vale a
dire che il trattamento dei dati debba essere previsto e configurato fin
dall’inizio prevedendo le garanzie per tutelare i diritti degli interessati;
-
Rischio del trattamento, inteso come
valutazione dell’impatto negativo sulle libertà e i diritti degli interessati.
Le
nuove norme, inoltre, prevedono:
-
Un più facile accesso per i cittadini alle
informazioni riguardanti i propri dati, nonché le finalità e modalità di
trattamento degli stessi;
-
Un diritto alla portabilità dei dati, che
consentirà di trasferire i dati personali tra i vari servizi online;
-
L’istituzionalizzazione del diritto all’oblio
(possibilità di ottenere la rimozione dei dati nel momento in cui venga meno
l’interesse pubblico alla notizia);
-
L’obbligo di notifica, da parte delle aziende, di
gravi violazioni dei dati dei cittadini;
-
Il principio del one stop shop o “sportello unico”, vale a dire che le aziende
dovranno rispondere alla sola autorità di vigilanza dello Stato in cui hanno la
sede principale;
-
Multe fino al 4% del fatturato globale delle
aziende in caso di violazioni delle norme
Nell'ambito
del processo di responsabilizzazione del trattamento emerge la nuova figura del
DPO (Data Protection Officer). Si rileva in questo caso una analogia con quanto
già previsto per le aziende, in ambito penale, con il Modello Organizzativo
disciplinato dal Dlgs 231/2001. Viene infatti creata una figura che deve
rivestire un alto livello di professionalità e, al contempo, garantire
imparzialità ed indipendenza.
● Ambito territoriale
Il
Regolamento si applica a ogni trattamento che abbia ad oggetto dati personali e
a tutti i titolari (controller) e
responsabili (processor) del
trattamento stabiliti, non solo nel territorio dell’UE, ma anche a coloro che
in generale, offrendo beni e servizi, trattino dati di persone ivi residenti
(art. 3 Regolamento).
Non
viene applicato nei seguenti casi:
-
trattamenti
effettuati per attività che non rientrano nell’ambito di applicazione del
diritto dell’Unione;
-
trattamenti
effettuati dagli Stati membri nell’esercizio di attività che rientrano
nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE
(politica estera e sicurezza);
-
trattamenti
effettuati dalle autorità competenti a fini di prevenzione, indagine,
accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse
la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle
stesse;
-
trattamenti
effettuati da una persona fisica per l’esercizio di attività a carattere
esclusivamente personale o domestico.
● Base giuridica del trattamento
I
titolari del trattamento dovranno identificare la base giuridica del
trattamento (ad es. il consenso dell'interessato)
e documentarla, poiché da essa può scaturire, ad esempio, un rafforzamento di
determinati diritti (es. rafforzato il diritto alla cancellazione nel
caso di trattamenti basati su consenso).
Codice
Privacy attuale
|
Nuovo
Regolamento UE
|
|
Soggetti
coinvolti
|
●
Titolare
del trattamento (chi svolge il trattamento e ne determina le
finalità e modalità);
●
Responsabile
(incaricato al trattamento dal titolare);
●
Incaricati
al trattamento (ausiliari del responsabile.
L’autorità
di controllo è il Garante della Privacy
|
Spariscono
gli incaricati: al loro posto il
regolamento cita i "soggetti autorizzati", senza specificare oltre.
Il Garante rimane l'autorità di controllo.
Viene
aggiunto il Responsabile per la protezione dei dati (Dpo), consigliere dei
titolari.
|
Principi
|
I
principi generali nel trattamento dei dati personali sono:
-
Necessità
-
Liceità
-
Correttezza
- Adeguatezza
-
Trasparenza
-
Pertinenza
|
Si aggiungono:
- Accountability (obbligo per il
titolare di adottare le misure necessarie affinché le norme del regolamento
siano rispettate, con la responsabilità di dimostrarlo)
- Privacy by design e by default (la
tutela della privacy deve far parte dei sistemi sin dalla progettazione)
|
Obblighi
di chi tratta i dati
|
-
Informare l'interessato, raccogliere il consenso, se previsto, e avere
l'autorizzazione per trattare dati sensibili;
-
Notificare al Garante particolari tipi di trattamenti;
-
Adottare misure minime di sicurezza
|
Si
aggiungono regole specifiche per:
-
Incarichi e deleghe
-
Nomina del Dpo
-
Tenuta del Registro dei trattamenti (ove richiesto)
-
Organizzazione interna
- Sistemi
tarati a priori per l'adempimento degli obblighi
|
Diritti
degli interessati
|
-
Accesso ai dati
-
Cancellazione
-
Trasparenza
-
Possibilità di ricorso
-
Informazione e informativa
|
Si aggiungono:
-
Diritto all'oblio
-
Diritto di ricevere i propri dati immediatamente e in forma intellegibile
-
Ricorsi su trattamenti di ogni tipo che abbiano una relazione con la UE
|
Sanzioni
|
Le
sanzioni amministrative, in base alla norma violata, vanno da mille a 120mila
€. Può aggiungersi la pubblicazione, a spese proprie, del provvedimento su
uno o più giornali. Se il fatto è reato, sono previste sanzioni penali che
vanno da 6 mesi a 3 anni
|
Le
sanzioni amministrative hanno un massimo che arriva al maggiore importo tra
20 milioni di Euro e il 4% del fatturato annuo di gruppo-
Gli
Stati possono prevedere sanzioni penali.
Invariati
poteri di verifica, controllo, raccomandazione e divieto di trattamenti
illeciti.
|
Fabrizio Giulimondi
Nessun commento:
Posta un commento