+39 011 6705000 ldf@carloalberto.org

Bollettino n. 24 – aprile 2018

LE NUOVE NORME EUROPEE SULLA PRIVACY

Il 24 maggio 2016 è entrato in vigore il nuovo Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo “alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

Pur entrato in vigore 24 maggio 2016, il Regolamento si applica a decorrere dal 25 maggio 2018: il legislatore europeo ha concesso agli Stati membri due anni di tempo per adeguarsi alle previsioni del nuovo regolamento e le imprese, le pubbliche amministrazioni e i professionisti in generale, hanno avuto a disposizione questo periodo per organizzarsi in vista dell’applicazione delle nuove regole.Le nuove disposizioni europee costituiscono un importante tentativo di armonizzazione delle regole sulla protezione dei dati personali previste dalle normative dei vari Stati e sono finalizzate a sviluppare un mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software. Queste disposizioni, insieme a quelle previste dalla Direttiva (UE) 2016/680 del Parlamento eur

opeo e del Consiglio – anch’essa del 27 aprile 2016, relativa alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati” – costituiscono il cosiddetto pacchetto protezione dati personali.L’entrata in vigore del nuovo regolamento ha avuto quale effetto l’abrogazione della precedente Direttiva 95/46/Ce, che era stata concepita e recepita dagli Stati membri in un periodo nel quale solo una minima par

te della popolazione europea utilizzava internet e non esistevano i social media, i tablet e le più disparate APP, create per ogni genere di servizio e di attività. Allora sembravano lontani i tempi di una società della sorveglianza elettronica, nella quale sono gli stessi cittadini che pubblicano, più o meno inconsapevolmente, i propri dati personali sulle piattaforme on line e sui social media.

In questo nuovo quadro normativo i professionisti, le imprese, le pubbliche amministrazioni, ma anche le autorità amministrative indipendenti interessate (non solo il Garante per la protezione dei dati personali ma anche il Garante per l’infanzia e l’Autorità per le garanzie nelle comunicazioni) hanno dovuto affrontare i problemi di applicazione pratica ed interpretativa delle nuove disposizioni.Il Regolamento contiene un insieme di regole assai complesse in grado di disciplinare gran parte degli aspetti di una privacy “europea”, attenta al nuovo mondo digitale e al flusso transfrontaliero dei dati (sono previste, infat

ti, garanzie rigorose per il trasferimento dei dati al di fuori dell’UE). Gli istituti che in esso sono stati rivisti, rispetto alla direttiva 95/46 Ce, o previsti ex novo, sono numerosi. Le nuove regole sono orientate a favorire una più ampia tutela dei diritti delle persone e della riservatezza dei dati; sono rigide e concrete, tanto da prevedere, nel caso di violazione, sanzioni molto pesanti.

Le novità

Tra le novità più rilevanti è l’ampliamento della tutela dell’interessato, ossia il soggetto cui si riferiscono i dati trattati. Il Regolamento riconosce un livello elevato e uniforme di tutela dei dati ed è finalizzato ad offrire ai cittadini un maggior controllo sul loro utilizzo. I cittadini, con le nuove disposizioni, sono al centro del sistema, ad essi sono riconosciuti nuovi diritti, tra cui: il diritto alla portabilità dei dati, il diritto all’oblio (riconosciuto fino ad ora solo a livello giurisprudenziale), il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati sui suoi dati e di controllarli, il diritto di essere informato sulle violazioni dei propri dati personali (data breach: notificazione di una violazione di dati).

Sono quindi previsti precisi obblighi per le amministrazioni e per i privati:

  • Le pubbliche amministrazioni e le imprese hanno l’obbligo di comunicare ai cittadini le violazioni dei loro dati personali (data breach notification) entro le 72 ore, obbligo previsto attualmente solo in alcuni settori (fascicolo e dossier sanitario, interscambio di dati fra le pubbliche amministrazioni, Tlc e settore bancario).
  • Le imprese e le pubbliche amministrazioni vengono sottoposte ad un regime giuridico che comporta una notevolisima responsabilizzazione. La protezione dei dati personali diventa, per questi soggetti, un asset strategico che deve essere valutato già nel momento della progettazione di nuove procedure, prodotti o servizi, (principi data protection by design e data protection by default), senza quegli scadimenti burocratici che negli anni passati hanno relegato la protezione dei dati personali ad un mero adempimento formale, come mettere una firma per presa visione dell’informativa o per il consenso al trattamento di dati sanitari.
  • Le pubbliche amministrazioni hanno l’obbligo, prima di procedere al trattamento, di effettuare una valutazione dell’impatto (privacy impact assessment), dei trattamenti previsti, allorché (in particolare in caso di uso di nuove tecnologie) considerati la natura, l’oggetto, il contesto e le finalità del trattamento, questo può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La valutazione di impatto privacy richiede una puntuale e documentata analisi dei rischi.
  • I cittadini hanno il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro – che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali – di proporre il reclamo per loro conto, di esercitare per loro conto i diritti sui propri dati (v. artt. 77, 78 e 79) e di ottenere il risarcimento dei danni causati dalla violazione del Regolamento.

Il Regolamento introduce alcune semplificazioni degli oneri e degli adempimenti posti a carico delle pubbliche amministrazioni e/o dei privati e ne crea di nuovi:

  • Viene abrogato l’onere della notificazione preliminare al Garante privacy, prevista dall’art. 37 del Dlgs 196 del 2003, cioè la dichiarazione con la quale un soggetto pubblico o privato rendeva nota al Garante per la protezione dei dati personali l’esistenza di un’attività di trattamenti dati particolarmente delicati (es. dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria etc.).
  • Viene introdotto nell’ordinamento il “principio di accountability” (obbligo di rendicontazione; attenta analisi e preventiva valutazione del rischio): le pubbliche amministrazioni, titolari del trattamento dei dati, dovranno dimostrare (predisponendo a tal fine le proprie strutture) di avere adottato misure di sicurezza adeguate ed efficaci a proteggere i dati in proprio possesso, assicurandone un costante aggiornamento, e trattamenti conformi ai principi e le disposizioni del regolamento europeo. In tal senso il regolamento prevede che l’adesione ai codici di condotta (art.40 Reg.) o a un particolare meccanismo di certificazione (art.42 Reg.) possa essere considerato elemento utile a dimostrare il rispetto degli obblighi del titolare del trattamento (altri elementi di forte innovazione rispetto alla normativa precedente).
  • Viene introdotto il registro dei trattamenti: il titolare o il responsabile hanno l’obbligo di tenere il registro delle attività di trattamento effettuate sotto la propria responsabilità, con relativa descrizione delle misure di sicurezza (art. 30 Reg.). Il registro (in formato anche elettronico) deve contenere una descrizione generale delle misure di sicurezza tecniche e organizzative e, su richiesta, il titolare del trattamento o il responsabile del trattamento (o i loro rappresentanti) sono tenuti a mettere il registro a disposizione dell’autorità di controllo. Questo adempimento, obbligatorio per tutte le pubbliche amministrazioni, risulta molto più rigoroso e puntuale del precedente obbligo di adozione del Documento programmatico per la sicurezza (DPS), che era stato abrogato dal Decreto Monti (decreto-legge 9 febbraio 2012, n. 5).
  • Quanto agli obblighi di sicurezza del trattamento, il Regolamento prevede (art. 32 Reg.) che il titolare del trattamento e il responsabile del trattamento mettano in atto misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche della probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche. Il profilo del costo di attuazione delle misure di sicurezza costituisce una novità importante per il nostro ordinamento.

Data protection officer (DPO)

Il Regolamento introduce nel nostro ordinamento una nuova figura, il Data protection officer (responsabile della protezione dei dati personali), che le pubbliche amministrazioni hanno l’obbligo di nominare e che deve sempre essere “coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

Il Data protection officer (DPO) deve essere in possesso di specifici requisiti: competenza, esperienza, indipendenza e autonomia di risorse, assenza di conflitti di interesse e dovrà presidiare i profili privacy organizzativi att

raverso un’opera di sorveglianza sulla corretta applicazione del Regolamento europeo, della normativa privacy e della normativa interna; sull’attribuzione delle responsabilità, l’informazione, la sensibilizzazione e la formazione del personale, il rilascio di pareri.Il Data protection officer, che può essere sia interno che esterno all’ente, è tenuto a presidiare i profili privacy e a cooperare con l’Autorità Garante e riferisce direttamente al vertice gerarchico del titolare del trattamento.

Il Data protection officer costituisce un punto di riferimento e di contatto per i cittadini che possono rivolgersi per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento europeo. L’identità e i dati di contatto del Data protection officer devono essere riportati nell’informativa privacy (art. 13, primo comma, lett.b) da comunicare prima del conferimento dei dati da parte dei cittadini, devono essere pubblicati sul sito dell’ente (art.37 Reg.) e contenuti anche nel registro dei trattamenti.

Nell’eseguire i propri compiti il Data protection officer dovrà tenere in debito conto tutti i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
In conclusione, il Regolamento richiede alle imprese, alle associazioni, ai liberi professionisti (soprattutto esperti giuridici e in materia di protezione dei dati personali) e, in particolare, alle pubbliche amministrazioni (oltre che a tutti i dirigenti e funzionari di queste ultime) di divenire gli artefici di un profondo cambiamento organizzativo, nell’ottica di adeguare le norme di protezione dei dati ai cambiamenti determinati dall’incessante evoluzione delle tecnologie (cloud computing, digitalizzazione, social media, cooperazione applicativa, interconnessione di banche dati, pubblicazione automatizzata di dati on line).

Le Autorità amministrative indipendenti nazionali

Il nuovo Regolamento prevede anche un aumento dei poteri delle Autorità Garanti nazionali, le quali saranno chiamate ad applicare le sanzioni amministrative (che risultano più dure rispetto al passato) a carico delle imprese e delle pubbliche amministrazioni che non si siano adeguate al Regolamento e/o che ne violino i principi. Si sottolinea, al riguardo, che in caso di violazioni dei principi e disposizioni del Regolamento, le sanzioni, in casi particolari, possono arrivare fino a 10 milioni di euro o per le imprese fino al 2%-4% del fatturato mondiale totale annuo dell’esercizio precedente.
Nei due anni di transizione verso l’applicazione del nuovo Regolamento in materia di protezione dei dati personali, il Garante per la protezione dei dati personali si troverà a svolgere un ruolo chiave nella complessa opera di armonizzazione della normativa nazionale in materia di protezione dei dati personali oggi vigente e dei propri precedenti provvedimenti generali dal forte impatto sulle pubbliche amministrazioni rispetto ai nuovi principi, istituti e responsabilità.

Competenze

Postato il

Aprile 12, 2018

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi