Evoluzione della normativa
Il nuovo Regolamento UE 2016/679 è stato approvato il 27 aprile 2016 e pubblicato sulla Gazzetta Ufficiale dell'Unione il 4 maggio 2016. Il Regolamento disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e abroga la precedente direttiva in materia 95/46/CE.
È entrato in vigore il 24 maggio 2016, con la previsione di un biennio per consentire a tutti gli Stati membri dell'Unione di uniformare la propria legislazione.
Dal 25 maggio 2018 professionisti e imprese devono conformarsi alle prescrizioni, evitando di incorrere nelle pesanti sanzioni economiche e penali previste dalla nuova normativa.
Sintesi delle novità principali
Principio cardine del Regolamento è la tutela dei diritti dell'interessato. Questa impostazione lo colloca al centro del trattamento dei dati personali e riconosce che questi ultimi costituiscono un aspetto non secondario della persona stessa.
Una maggiore tutela dei singoli individui è ritenuta fondamentale in considerazione sia dell'evoluzione delle tecnologie disponibili che dei processi di globalizzazione che ha ampliato enormemente la platea degli attori coinvolti nei processi di raccolta e diffusione dei dati.
- Imprese straniere
Una delle novità di notevole impatto è l'adeguamento delle imprese straniere al Regolamento Europeo. Se nel passato i clienti di siti online extracomunitari erano soggetti alla normativa del Paese in era basata la società di vendita, adesso sono le imprese a dovere adeguare la propria politica privacy alla normativa europea. E, in tema di sanzioni, il discorso si fa serio in quanto sono previste multe fino a 20 milioni di euro o al 4% del fatturato annuo globale.
- Data Breaches
Sono state inasprite le procedure conseguenti al Data Breach, da utilizzare in caso di violazione dei dati personali intesa come accesso abusivo, alterazione o perdita degli stessi: i titolari dei trattamenti saranno obbligati ad avvisare l'Autorità di Controllo e, nei casi di particolare gravità, anche i diretti interessati entro 72 ore.
- Portabilità dei dati
Il principio di portabilità dei dati discende dal fatto che questi sono degli interessati e non di chi li raccoglie. Pertanto è riconosciuto il diritto di trasferire i propri dati da un gestore a un altro secondo modalità agevoli da parte delle aziende.
- Diritto all'oblio
Riconosciuto come uno dei diritti da garantire agli interessati, il diritto all'oblio è la facoltà dell'interessato ad avere cancellati i propri dati. Si pensi a quelli che circolano in Rete, salvaguardando comunque il diritto di cronaca per i casi di rilevante interesse generale o per finalità di interesse storico.
- One-stop-shop
Per porre fine al rimpallo di responsabilità in caso di multinazionali con sede nel territorio europeo, è stato introdotto il principio del one-stop-shop: le imprese sono soggette all'Autorità Garante dello Stato in cui è ubicato lo stabilimento principale e le decisioni adottate sono valide in tutta l'Unione. Ciò consente agli interessati di risparmiare tempi e costi in caso di controversie.
- Privacy by design
Il Regolamento Europeo pone notevole attenzione alla reponsabilità nei confronti degli utenti introducendo il principio della privacy by design, cioè l'obbligo di pianificare fin dall'inizio del processo produttivo (ad esempio di un software, un servizio, un prodotto) un'attenta analisi dei rischi, la cosiddetta Privacy Assessment, al fine di assicurare la correttezza, l'integrità, la riservatezza e la sicurezza dei dati, nonché la loro effettiva cancellazione quando richiesta.
- Privacy by default
Il principio della privacy by default, inoltre, mette in rilievo la condizione che gli strumenti e le modalità del trattamento devono essere contenute nei limiti del trattamento minimo necessario per il perseguimento del fine per cui tali dati vengono raccolti.
- Accountability
In quest'ottica si pone anche il principio di accountability, l'obbligo da parte di chiunque tratti dati personali di rispettare le norme del Regolamento non solo formalmente ma anche di mettere in pratica quanto stabilito in fase di analisi dei rischi. In caso di controversie saranno i titolari del trattamento a dimostrare di avere attuato tutte le norme previste per ridurre al minimo il rischio di violazione dei dati, mettendo a punto linee e guida adeguate e attuando le procedure necessarie alla protezione delle informazioni.
- Registro delle attività del trattamento
L'articolo 30 impone al titolare e al responsabile del trattamento la redazione e l'aggiornamento del Registro delle attività del trattamento, ove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate. Simile ad Documento Programmatico della Sicurezza previsto dal D.Lgs. 196/2003 ma molto più rigoroso, soprattutto per i soggetti che trattano dati sensibili o giudiziari.
- Data Protection Officer
Per supportare il titolare del trattamento è istituita la figura del responsabile della protezione dei dati, Data Protection Officer, il quale deve controllare che l'organizzazione generale e le procedure operative rispettino i diritti degli interessati e ne mantengano al sicuro i dati in ogni momento, fino al loro smaltimento definitivo.
Assume la funzione di punto di contatto sia per l'Autorità Garante che per gli interessati. Si occupa di assistere il titolare nelle operazioni di valutazione del rischio e in quelle più approfondite di valutazione di impatto sulla protezione dei dati (DPIA - Data Protection Impact Assessment). Esprime valutazioni, propone misure e accorgimenti per rispettare la normativa e ne denuncia le violazioni.
La nomina del Data Protection Officer è obbligatoria per le Pubbliche Amministrazioni e per le aziende che trattano categorie particolari di dati, ad esempio i dati biometrici, o che effettuano la profilazione degli utenti. Considerate le sanzioni molto ppesanti previste per le violazioni della norma, è bene valutare attentamente il ricorso a tale figura anche per le aziende che non rientrano strettamente in questi casi.
- Semplificazioni nelle comunicazioni al Garante
In tema di semplificazioni, il Regolamento libera le imprese dall'obbligo di comunicare al Garante il trattamento di determinate tipologie di dati (ad esempio la profilazione e la geolocalizzazione), mentre per gli utenti è più semplice conoscere gratuitamente quanti e quali dei propri dati personali sono trattati da amministrazioni pubbliche o aziende. Per limitare gli abusi è prevista la possibilità di addebitare un costo all'interessato per le richieste manifestamente infondate o ripetute.
- Informativa e consenso
Al fine di rendere più semplice la lettura dell'informativa da consegnare all'interessato del trattamento, è previsto il ricorso ad icone esplicative e l'uso di un linguaggio semplice e chiaro.
Il consenso deve essere libero, specifico, informato ed è valido se la volontà espressa non è equivoca. Nel caso di informativa digitale sui siti web non è obbligatorio apporre un segno di spunta ma è sufficiente esporre l'informazione che proseguendo nella navigazione si accetta il trattamento dei dati e il link all'informativa completa.
- Joint Controller
Inserita nel Regolamento è la figura del Joint Controller, contitolari che congiuntamente decidono politiche e indirizzo di trattamento, che potranno suddividersi i rispettivi compiti e relative responsabilità secondo un contratto in forma scritta.
- Altre misure
Altre novità spaziano dalla precisa definizione di trattamento dei dati personali di minori, il riconoscimento di particolare attenzione ai servizi della società dell'informazione nei confronti di minori, l'introduzione di requisiti più stringenti per la migrazione dei dati verso paesi terzi rispetto all'Unione Europea.