Il nuovo regolamento europeo entra in vigore a primavera 2018 : aumenta la privacy e migliora il business, ma attenti alle SANZIONI

Sono trascorsi quattro anni da quando l’apposita commissione ha proposto un pacchetto completo sulla protezione dei dati personali che comprendesse:

– l’ARMONIZZAZIONE (o sostituzione) della direttiva del 1995 sulla protezione dei dati (ex primo pilastro);

– la proposta di direttiva concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati, intesa a sostituire la decisione quadro del 2008 sulla protezione dei dati (ex terzo pilastro);

– il rafforzamento dei diritti delle persone con riguardo alla protezione dei dati e agevolare la libera circolazione dei dati personali nel mercato digitale

Partendo dal presupposto che la rapida evoluzione tecnologica a cui siamo esposti insieme alla globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso; la tecnologia attuale consente alle imprese e alle autorità di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano.

Ciò ha portato a stabilire questi punti fondamentali:

(A) la tutela delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale;

(B) gli stati UE devono contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone;

(C) l’obiettivo della direttiva del Parlamento europeo e del Consiglio è armonizzare la tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e assicurare la libera circolazione dei dati personali tra Stati membri;

(D) il diritto al rispetto della vita privata e familiare, del domicilio e delle comunicazioni, il diritto alla protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, così come la diversità culturale, religiosa e linguistica fanno parte della Carta dei diritti fondamentali dell’Unione europea;

(E) l’integrazione economica e sociale conseguente al funzionamento del mercato interno ha portato a un considerevole aumento dei flussi transfrontalieri e quindi anche dei dati scambiati, in tutta l’Unione, tra attori pubblici e privati, comprese persone fisiche, associazioni e imprese. Il diritto dell’Unione impone alle autorità nazionali degli Stati membri di cooperare e scambiarsi dati personali per essere in grado di svolgere le rispettive funzioni o eseguire compiti per conto di un’autorità di un altro Stato membro;

(F) l’evoluzione tecnologica in corso richiede un quadro giuridico più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato;

(G) occorre eliminare l’incertezza giuridica e la percezione, largamente diffusa, che operazioni on line comportino notevoli rischi per la tutela delle persone fisiche;

Così il 14 aprile la plenaria del Parlamento Europeo ha adottato in seconda lettura i testi di Regolamento e Direttiva come approvati dal Consiglio.

Queste le keyword con cui dovremo necessariamente familiarizzare : armonizzazione, trasparenza, rendicontazione, privacy by design e privacy by default, data protection officer, diritto alla portabilità, codici di condotta, certificazione, data breach e sanzioni.

Il principio della TRASPARENZA impone che le informazioni destinate al pubblico o all’interessato siano facilmente accessibili e di facile comprensione. Ciò è particolarmente utile in situazioni quali la pubblicità on line, in cui la molteplicità degli operatori conto della complessità della richiesta e dell’operazione, fanno sì che sia difficile per l’interessato comprendere se vengono raccolti dati personali, da chi, e se conformi alla  legge. Comunque bisogna informare l’interessato.

Il principio di ACCOUNTABILITY indicato nel Regolamento dispone che il responsabile del trattamento debba adottare politiche e attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento. Sostanzialmente viene introdotto il concetto di RENDICONTAZIONE

Il principio della PRIVACY BY DESIGN richiede che la tutela dei diritti e delle libertà degli interessati, con riguardo al trattamento dei dati personali, comporti l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del Regolamento. Questo principio prevede che la protezione dei dati venga integrata nell’intero ciclo di vita della tecnologia, dalla fase di analisi e progettazione fino alla sua ultima distribuzione, all’utilizzo, agli eventuali upgrade per finire alla distruzione finale.

Il principio della PRIVACY BY DEFAULT prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati richiesti e la limitazione delle finalità del loro uso.

L’istituzione della figura del Responsabile della Protezione dei Dati , in inglese DATA PROTECTION OFFICER  (DPO) che diventa obbligatoria nei seguenti casi:
(1) quando il trattamento è effettuato da un’autorità o un ente pubblico
(2) quando le operazioni di trattamento richiedono un monitoraggio regolare e sistematico delle persone interessate su larga scala;
(3) tutte le volte che si trattano categorie speciali di dati (dati sensibili) o di dati relativi a condanne penali e reati.
Un gruppo di imprese può designare un unico DPO a condizione che sia facilmente reperibile.

Il DIRITTO ALLA PORTABILITA’ renderà più semplice trasportare i dati personali da un fornitore di servizio a un altro o all’interessato stesso (si pensi in quest’ambito ai trasferimenti necessari non solo nel mondo delle telco ma anche all’internet delle cose). Occorre quindi conoscere come e cosa si trasferisce e di riportarlo se richiesto al legittimo interessato.

Il DATA BREACH ossia il diritto di essere informati in caso di violazione dei dati : ad esempio, le imprese e le organizzazioni dovranno comunicare quanto prima all’Autorità di controllo le violazioni dei dati affinché gli utenti possano prendere le misure opportune. In casi gravi si dovranno comunicare anche anche all’interessato. Si dovrà fare in termini brevi : dalle 48 alle 72 ore dopo la violazione.

Infine parliamo di 2 articoli:

– l’articolo 38 riguarda i CODICI DI CONDOTTA e precisa il contenuto di tali codici e le procedure, conferendo alla Commissione il potere di decidere sulla validità generale dei codici di condotta adottati;
– l’articolo 39 poi introduce la possibilità di predisporre meccanismi di CERTIFICAZIONE e sigilli e marchi di protezione dei dati.

Questa la parte dolente : sono previste SANZIONI molto salate nei confronti dei titolari del trattamento (o dei responsabili del trattamento) che dovessero violare le norme sulla protezione dei dati. Si può incorrere in sanzioni fino a 20 milioni di EURO o al 4% del fatturato globale annuo. Queste  sanzioni amministrative verranno imposte dalle autorità nazionali preposte alla protezione dei dati. Basti pensare che la più alta sanzione emessa in Italia per la violazione della normativa privacy è stata fino ad oggi di un milione di euro contro Google. Come dicevamo il regolamento privacy comunitario prevede sanzioni fino al 4% del fatturato globale del soggetto che commette la violazione. Questo vuol dire che, facendo un po’ di conti, Google ora rischierebbe una sanzione minima di 20 milioni di EURO