LA PRIVACY EUROPEA 2.0.:
IL REGOLAMENTO UE N. 2016/679 E LE PRINCIPALI NOVITÀ
GDPR, PIA, DPO…Cosa sono questi nuovi acronimi che
investiranno ufficialmente la vita delle aziende europee dal 25 maggio 2018 e
di cui, con sensibile ritardo, si comincia finalmente a parlare?
Come purtroppo non ancora tutti sanno, sta per entrare in
vigore il Regolamento UE 2016/679 (GDPR - General
Data Protection Regulation) sulla Privacy che manderà definitivamente in
cantina la direttiva 95/46/CE.
COSA CAMBIA?
Innanzitutto, trattandosi di regolamento e non più di
direttiva, sarà direttamente applicabile in tutti gli Stati membri dell’Unione
ed obbligatorio in tutti i suoi elementi, non essendo più demandato ad ogni
Stato, come avviene per una direttiva, di raggiungere un determinato risultato,
lasciandolo libero di deciderne le modalità più opportune.
Teoricamente, siamo di fronte ad un radicale cambiamento del
concetto di privacy o quantomeno del sistema di regole che la tutelano. La
realtà globalizzata ed il web 2.0 hanno generato un valore economicamente
apprezzabile ad ogni singolo dato personale, trasformando il marketing e incidendo
sui rapporti tra i vari Stati, soprattutto le grandi potenze mondiali.
Ebbene finalmente il legislatore se ne è preoccupato,
maturando la necessità di dotarsi di un sistema di regole lungimirante, tanto aperto
quanto rigido nei suoi confini, che garantisca al contempo il diritto alla
privacy, sancito dalle più importanti fonti nazionali ed internazionali, ed un
trattamento dei dati più trasparente e sicuro.
LE PRINCIPALI NOVITA’
APPLICAZIONE DELLA NORMATIVA
Con la vecchia disciplina occorreva prendere a riferimento la
sede del Titolare del trattamento dei dati, lì dove il Regolamento, invece,
sposta l’attenzione sul soggetto i cui dati sono trattati. Una delle principali
conseguenze è che, per la prima volta, il Titolare che si trovi fuori
dall’Unione Europea sarà soggetto alla normativa europea.
Inoltre è prevista l’introduzione di requisiti più stringenti
per trasferire dati verso Paesi Terzi.
IL TRATTAMENTO DEL DATO E CATEGORIE DI DATI
Il
trattamento del dato dovrà avvenire nel rigoroso rispetto dei seguenti
principi: liceità, correttezza, trasparenza, aggiornamento, integrità,
responsabilizzazione, necessità, finalità e minimizzazione.
Si tratta di principi, tra cui alcuni già noti, che hanno
un'enorme incidenza nell'intero Regolamento UE, soprattutto, come di seguito
illustrato, sull'informazione ed il consenso nonché sulla pianificazione e
gestione della privacy per le aziende.
Vengono introdotte le definizioni di “Dato Generico” e “Dato
Biometrico” e viene tipicizzato il dato sanitario, inteso come dato che
traspare dalla prestazione di servizi di assistenza sanitaria, parte della più
amplia categoria dei "dati relativi alla salute".
E' stata anche Introdotta la categoria del trattamento dati
dei minori.
Nonostante il Regolamento UE non utilizzi espressamente il
termine dati sensibili e sensibilissimi, rubricandoli in "categorie
particolari di dati personali", la sostanza non muta. Quello che invece è
oggetto di modifica è la protezione rafforzata di tali dati di cui il
trattamento è di default vietato,
salvo ipotesi ben delineate che non prevedono più l'autorizzazione del Garante.
NUOVI DIRITTI
Con il Regolamento Europeo è sancito il diritto alla
portabilità dei dati che permetterà ad ogni interessato di pretendere la
restituzione del dato concesso, anche su supporto elettronico.
Viene altresì chiaramente normato il diritto all’oblio, ossia
il diritto ad essere completamente dimenticato da chi ha trattato i propri
dati.
ALTRE NOVITA’ CHE
INTERESSANO PRINCIPALEMTE LE IMPRESE
Esordisce il principio di Accountability
(responsabilità verificabile) per cui è demandato ad ogni singolo Titolare di
dotarsi preventivamente di una struttura organizzata e di idonee misure di
sicurezza. Chi non lo farà sarà soggetto a sanzione, a prescindere
dall’utilizzo effettivo del dato.
PRIVACY BY DESIGN E PRIVACY BY DEFAULT
Oggetto
di rielaborazione sono le procedure di raccolta e gestione dei dati secondo la
logica by design & by default,
preordinate per attuare una tutela preventiva e proattiva del trattamento dei
dati. In particolare, la privacy by
design esige un'impostazione del trattamento basato su una tutela
preventiva, tramite la previsione e attuazione di misure tecniche e
organizzative adeguate come l'anonimizzazione e pseudonimizzazione, mentre la
privacy by default disciplina un controllo
costante sul trattamento affinchè lo stesso avvenga nel rispetto della
normativa in vigore, riducendo il rischio di violazione dei dati.
INFORMAZIONE E CONSENSO
Non a caso prima si parlava di informativa sulla privacy ed
oggi di informazione. Viene abbandonato il concetto di adempimento burocratico
dell’informativa come atto complesso da acquisire per un trattamento lecito dei
dati e si passa ad una informazione accessibile, concisa e scritta con
linguaggio chiaro e semplice che deve, allo stesso tempo, fornire tutte le
informazioni necessarie sulla vita del proprio dato personale trattato.
Il nuovo consenso deve essere anche inequivocabile, oltre che
informato, libero e specifico. Dunque per essere valido il consenso deve essere
espresso in modo non equivoco, anche con un’azione concludente positiva, fatto
salvo, si capisce, l’onere eventuale e successivo del Titolare della relativa
prova.
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI (PIA – Privacy Impact Assessment)
Occorrerà effettuare una valutazione degli impatti privacy,
analizzando i rischi sulla scorta delle attuali lacune nel trattamento, le
misure di sicurezza in dotazione ed i protocolli di verifica periodica.
COMUNICAZIONI AL GARANTE
Salvo casi specifici come il trattamento di dati genetici,
non si dovrà più informare il Garante su un particolare trattamento dei dati ma
la notifica al Garante nel giro di poche ore e la comunicazione all’interessato
sono punti fermi del Regolamento in caso di violazione dei dati, salvo ipotesi
ben individuate.
D.P.O. - DATA PROTECTION OFFICER
Nasce questa nuova figura per enti ed aziende che effettuano
il trattamento di determinate categorie di dati. Tralasciando quanto previsto
per gli enti pubblici, sarà obbligatorio dotarsi di un D.P.O. se le “attività
principali” consistono in trattamenti che, per loro natura, ambito di
applicazione e/o finalità, richiedono un “monitoraggio regolare e sistematico”
degli interessati su “larga scala”, oppure se siamo di fronte ad un trattamento su “larga scala” di “categorie particolari” di
dati (c.d. dati sensibili) o di dati personali relativi a condanne penali e
reati (c.d. dati giudiziari).
Il D.P.O. potrà essere sia una figura interna od esterna
all’azienda, purché risposta al requisito della reperibilità, periodicamente
rinnovata, dalla comprovata qualifica e che gestirà i rapporti con il Garante.
DATA BREACH
Si avrà una violazione dei dati con la diffusione,
trasmissione, transito o comunicazione, non autorizzate, degli stessi ad opera
di un soggetto non autorizzato
Risulteranno rilevanti l'errore umano, quale l'errata
consegna del dato, pubblicazione ovvero distruzione nonché gli attacchi e gli
accessi non autorizzati alle applicazioni web ed ai dispositivi.
Il principio di responsabilizzazione imporrà determinati comportamenti
quali la notifica al Garante entro 72 H dalla violazione ovvero 48 H se
trattasi di dossier sanitario, salvo dover diversamente poi chiarire le ragioni
del ritardo ovvero aver reso inoffensiva la violazione.
Salvo ipotesi tassative, sarà altresì obbligatoria la
comunicazione all'interessato della violazione con doviziosa descrizione di
quanto accaduto, indicando i comportamenti che l'interessato dovrà tenere per
attenuare i potenziali effetti negativi dell'uso improprio dei dati.
SANZIONI
Senza voler scendere troppo nel dettaglio e tentando di
offrire una panoramica generale, le violazioni alle norme a presidio della
privacy by design, comporteranno una
sanzione pecuniaria sino a € 10 Milioni ovvero il 2% del fatturato mondiale
totale annuo dell'esercizio precedente, se superiore; mentre le violazioni alle
norme a presidio della privacy by default,
comporteranno una sanzione pecuniaria sino a € 20 Milioni ovvero il 4% del
fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
Il Regolamento UE detta i criteri per la determinazione della
sanzione, individuando fondamentalmente solo il massimo della sanzione.
E' demandato ad ogni singolo Stato membro la previsione di
ulteriori sanzioni alle violazioni descritte dal Regolamento UE ma non oggetto
di sanzione.
Ad oggi, il sistema sanzionatorio italiano rimane quello del
Titolo III del Codice della Privacy che prevede sanzioni amministrative, penali
ed accessorie.
SVILUPPI
Il Consiglio dei Ministri, lo scorso 21 marzo, ha approvato,
in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13
della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163),
introduce disposizioni per l’adeguamento della normativa nazionale alle
disposizioni del Regolamento europeo relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di tali dati.
A far data dal 25 maggio 2018, data in cui le disposizioni di
diritto europeo acquisteranno efficacia, il vigente Codice in materia di
protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n.
196, sarà abrogato e la nuova disciplina in materia sarà rappresentata
principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili
e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento
interno al nuovo quadro normativo dell’Unione Europea in tema di tutela
della privacy.
Dunque, sconfessando i più scettici che non credevano in un
tempestivo intervento del legislatore nazionale alle prese con l'avvio della
nuova legislatura, sembra che il 25 maggio l'Italia godrà anche di una
normativa interna concepita sulla scorta del Regolamento UE, scongiurando
espressamente l'ipotesi di dover ricorrere all'ancora vigente Codice della
Privacy per colmare un evidente vulnus normativo.
Roma, 27 marzo 2018
Nessun commento:
Posta un commento