Premessa

Il nuovo Regolamento europeo sulla protezione dei dati personali (Regolamento (UE) 2016/679) è stato approvato il 27 aprile 2016 e pubblicato sulla Gazzetta Ufficiale dell'Unione il 4 maggio 2016. Il Regolamento disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Esso abroga la precedente direttiva 95/46/CE.
La sua entrata in vigore è stabilita il 24 maggio 2016. Entro due anni a partire da tale data, tutti gli Stati membri dell'Unione devono uniformare la propria legislazione alle nuove regole comunitarie.
Sempre entro il termine di due anni a partire dal 24 maggio 2016, professionisti e imprese dovranno conformarsi alle nuove prescrizioni, evitando così di incorrere nelle pesanti sanzioni (sia economiche, sia di natura penale) previste dalla nuova normativa.


Le novità principali
  • Imprese straniere
    Una delle novità d’impatto è l’adeguamento delle imprese straniere al regolamento Europeo. Mentre prima, infatti, i clienti di siti online extracomunitari erano soggetti alla normativa del Paese in cui si acquistava, adesso saranno le imprese a dover adeguare la propria politica di privacy alla normativa europea. E, in tema di sanzioni, il discorso si fa serio in quanto sono previste multe fino a 20 milioni di euro o al 4% del fatturato.
  • Data Breaches
    È stato introdotto il cosiddetto principio di Data Breach, che scatta in caso di violazione dei dati, accesso abusivo o, comunque, perdita degli stessi: i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo e, nei casi di particolare gravità, anche i diretti interessati entro 72 ore.
  • Portabilità dei dati
    Una novità importante è il principio di portabilità dei dati, nei casi in cui si ha la necessità di trasferire i propri dati da un gestore ad un altro e che dovrà essere reso più agevole da parte delle aziende.
  • Diritto all’oblio
    Scatta anche il diritto all’oblio, cioè la facoltà dell’interessato a veder cancellati parte dei propri dati presenti in Rete, salvaguardando comunque il diritto di cronaca per i casi di rilevante interesse generale o per finalità di interesse storico.
  • One-stop-shop
    Per porre fine ai problemi di responsabilità in caso di multinazionali con sede nel territorio europeo, è stato introdotto il principio del one-stop-shop: le imprese faranno capo solo all’Autorità Garante dello Stato in cui si ha lo stabilimento principale, in modo che le decisioni adottate siano valide su tutto il territorio dell’Unione, ottenendo così un notevole risparmio di tempi e costi nel caso di eventuali controversie.
  • Privacy by design
    Il nuovo Regolamento Europeo ha posto notevole attenzione alla reponsabilità nei confronti degli utenti introducendo il principio della privacy by design, cioè l’obbligo di pianificare fin dall’inizio del processo produttivo (sia di un software che di un prodotto) un’attenta analisi dei rischi, la cosiddetta Privacy Assessment, al fine di assicurare la correttezza, l’integrità, a riservatezza e la sicurezza dei dati, nonché la effettiva cancellazione quando richiesta.
  • Privacy by default
    Il principio della privacy by default, inoltre, mette in rilievo la condizione che gli strumenti e le modalità del trattamento devono essere contenute nei limiti del trattamento minimo necessario per il perseguimento del fine per cui tali dati vengono raccolti.
  • Accountability
    In quest’ottica si pone anche il principio di accountability, cioè l’obbligo, da parte delle Pubbliche Amministrazioni e dei privati che trattano dati personali, non solo di rispettare formalmente le norme del Regolamento ma anche di mettere in pratica quanto stabilito in fase di analisi dei rischi. Cioè, in caso di controversie, i titolari del trattamento dovranno dimostrare di aver attuato tutte le norme previste per ridurre al minimo i rischi di perdita dei dati o loro violazione, mettendo a punto le procedure necessarie alla risoluzione dei problemi e attuando criteri di trasparenza nei confronti dei soggetti a cui si riferiscono le informazioni.
  • Registro delle attività del trattamento
    L’articolo 30 impone al Data Controller (il titolare del trattamento) la redazione e l’aggiornamento del Registro delle attività del trattamento, ove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate. Una cosa molto simile ad Documento Programmatico della Sicurezza della legge 196/2003 ma molto più rigoroso, soprattutto per i soggetti che trattano dati sensibili o giudiziari.
  • Data Protection Officer
    Per supportare il Data Controller in questa delicata fase è stata istituita la figura del Data Protection Officer il quale dovrà effettuare il cosiddetto Privacy Impact Assessment (in pratica, la valutazione del rischio già presente nel vecchio decreto 196/2003) al fine di valutare le misure e gli accorgimenti da suggerire alle aziende per rispettare le norme del Regolamento, con la produzione della relativa documentazione sulle misure adottate per la tutela i dati. Tale valutazione non sarà obbligatoria per le pmi, a meno della presenza di un rischio elevato.
    La nomina del Data Protection Officer è obbligatoria per le Pubbliche Amministrazioni e per le aziende che trattano particolari tipologie di dati (ad esempio i dati biometrici) o che effettuano la profilazione degli utenti. Ma, essendo le sanzioni non trascurabili, è bene valutare attentamente il ricorso a tale figura anche per le aziende che non rientrano strettamente in questi casi.
  • Semplificazioni nelle comunicazioni al Garante
    In tema di semplificazioni, il Regolamento libera le imprese dall’obbligo di comunicare al Garante il trattamento di determinate tipologie di dati (ad esempio la profilazione e la geolocalizzazione), mentre per gli utenti sarà più semplice conoscere quanti e quali dati sono trattati da un’amministrazione o un’azienda, anche se sarà possibile addebitare un costo all’interessato per le richieste manifestamente infondate o eccessive.
  • Informativa e consenso
    Al fine di rendere più semplice la lettura dell’informativa da consegnare all’interessato del trattamento, è previsto il ricorso ad icone esplicative e l’uso di un linguaggio semplice e chiaro.
    Il consenso deve essere libero, specifico, informato ed è valido se la volontà espressa non è equivoca. Nel caso di informativa digitale sui siti, non è obbligatorio il segno di spunta ma basta un testo che informa che proseguendo si accetta il trattamento dei dati con un link all’informativa.
  • Joint Controller
    Altre novità inserite nel Regolamento sono la figura del Joint Controller (titolari congiunti che potranno suddividersi le responsabilità privacy in un apposito contratto), la definizione di trattamento dati dei minori, l’introduzione di requisiti più stringenti per la migrazione dei dati verso paesi terzi.

In definitiva, il nuovo Regolamento pone al centro del trattamento la tutela dei dati dell’interessato, tenendo conto sia dell’evoluzione delle tecnologie a disposizione per la protezione dei dati raccolti, sia della globalizzazione che ha ampliato enormemente la platea degli attori coinvolti nei processi di raccolta e diffusione dei dati.

Leggi o scarica il testo completo del Regolamento Privacy UE 2016/679:

REGOLAMENTO EUROPEO 2016/679 (TESTO INTERATTIVO E DOWNLOAD PDF)