Avv. Luca Valle
È già trascorso un anno dall’emanazione del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il Regolamento 2016/679, che andrà a sostituire – o comunque ad integrare e modificare – il Decreto Legislativo 196/2003 (c.d. Codice Privacy), è entrato in vigore il 24 maggio 2016, ma sarà direttamente applicabile in tutti gli Stati membri dell’UE solamente dal 25 maggio 2018, data in cui dovrà essere garantito il perfetto allineamento fra la normativa nazionale e il Regolamento stesso.
Il Regolamento, volto all’armonizzazione della normativa in tutti gli Stati membri UE in un momento storico caratterizzato dall’incessante evoluzione tecnologica e dalla globalizzazione, ha introdotto numerose novità in ambito privacy, tutte caratterizzate da un’accentuazione dei doveri e delle responsabilità che gravano sui titolari del trattamento e da una maggior attenzione alla tutela dei diritti degli interessati.
Di seguito si segnalano le principali novità introdotte dal Regolamento Europeo:
- principio di accountability, in base al quale il titolare del trattamento deve adottare politiche ed attuare misure in grado di dimostrare che il trattamento dei dati personali è conforme al Regolamento;
- data protection impact assessment, in base al quale ogni trattamento di dati personali che presenta rischi per i diritti e le libertà degli individui deve essere oggetto di attenta valutazione; tale valutazione di impatto sulla protezione dei dati personali è obbligatoria non solo quando sono trattati dati sensibili o giudiziari, ma anche nei casi di trattamenti automatizzati e nei casi di profilazione;
- privacy by design, in base al quale la protezione dei dati deve essere garantita fin dalla fase di ideazione e progettazione di un trattamento e di un sistema;
- privacy by default, in base al quale i dati, per impostazione predefinita, dovranno essere trattati solamente per le finalità previste e per il periodo strettamente necessario a tali finalità;
- obbligo di tenere un Registro delle attività di trattamento effettuate, facoltativo solamente per le imprese con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali;
- data breach notification, consiste nell’obbligo in capo ai titolari del trattamento di notificare senza ritardo all’Autorità di controllo (in Italia è il Garante della Privacy) eventuali violazioni dei dati personali, ad eccezione dei casi in cui sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche; quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento avrà altresì l’obbligo di comunicare la violazione all’interessato, salvo particolari eccezioni previste dall’art. 34 del Regolamento;
- Data Protection Officer (Responsabile della protezione dei dati), rappresenta una nuova figura introdotta dal Regolamento, la cui nomina è obbligatoria per il settore pubblico e, nel settore privato, in caso di monitoraggio degli interessati su larga scala (es. banche, compagnie di assicurazione, aziende di trasporto, ospedali, motori di ricerca e fornitori di servizi di telecomunicazioni) oppure di trattamenti su larga scala di dati sensibili/giudiziari; tale figura – che può essere rivestita da un dipendente dell’azienda o da un consulente esterno – deve possedere una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati e deve adempiere alle funzioni in piena indipendenza ed in assenza di conflitti d’interesse; i principali compiti del Data Protection Officer (DPO) sono quelli di informare e consigliare in merito agli obblighi derivanti dal Regolamento, verificare l’attuazione e l’applicazione del Regolamento, fornire pareri in merito alla valutazione di impatto sulla protezione dei dati, nonché fungere da punto di contatto per gli interessati e per l’Autorità di controllo;
- diritto alla portabilità dei dati, consiste nel diritto dell’interessato di trasferire i propri dati da un sistema di trattamento elettronico ad un altro, senza che il titolare del trattamento possa impedirlo, nonché nel diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali forniti a un titolare del trattamento;
- diritto alla cancellazione (c.d. diritto all’oblio), consiste nella possibilità per l’interessato, ricorrendo determinati presupposti, di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati personali.
Infine, il Regolamento UE 2016/679 ha introdotto importanti modifiche anche in ambito di misure di sicurezza e di sistema sanzionatorio.
Sotto il primo profilo, il Regolamento UE, diversamente dalla normativa nazionale attualmente vigente (vedi art. 33-34 e allegato B del Codice Privacy), non fornisce delle definizioni di misure di sicurezza, ma addossa al titolare del trattamento la ricerca delle misure da ritenersi adeguate nel caso di specie.
Sotto il secondo profilo, invece, il Regolamento ha notevolmente innalzato l’ammontare delle sanzioni amministrative pecuniarie previste per la violazione della normativa privacy (sanzioni che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo), lasciando poi a ciascuno Stato membro la facoltà di adottare, entro il 25 maggio 2018, altre sanzioni – effettive, proporzionate e dissuasive – per le violazioni del Regolamento.
Avv. Luca Valle