Questa settimana ha visto la luce dopo un parto travagliato il nuovo Regolamento UE concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la loro libera circolazione.
La sua approvazione ha avuto un percorso molto articolato, ma finalmente ci siamo. Ed essendo un regolamento, questo è di immediato recepimento ed attuazione da parte di tutti i paesi membri della Comunità Europea. Però abbiamo due anni per adeguarci completamente alle sue direttive.
Cosa succederà all’attuale legislazione? Il d.lgs 196/03 verrà abrogato, ma alcuni articoli rimarranno validi come anche i provvedimenti specifici dell’autorità. Il Regolamento è a carattere più generale, e non entra nel merito di alcuni aspetti regolamentati dalla legislazione locale (esempio videosorveglianza).
Questo nuovo Regolamento, che non si discosta molto dalla legislazione vigente in Italia (Codice di trattamento dei dati personali dlgs 196/03 e s.a. nonché dei provvedimenti dell’Autorità) introduce delle novità interessanti ed importanti a tutela dei nostri dati.
In particolare possiamo segnalare l’introduzione di alcuni articoli:
– una maggior attenzione alla tutela dei dati dei minori;
– un estensione dei dati definiti sensibili inglobando anche quelli biometrici e genetici;
– l’obbligo di “privacy impact assessment” (valutazioni preventive di impatto sulla tutela dei dati) in caso di trattamenti rischiosi; quindi una analisi dei rischi puntuale. Tra l’altro il testo del regolamento cita espressamente i parametri gravità e probabilità dell’evento;
– l’obbligatorietà di nominare un “data protection officer” (responsabile della protezione dei dati personali), che dovrà essere competente, indipendente e non necessariamente interno all’ente/impresa; nei casi di trattamenti a rischio dei dati personali ma anche la facoltà (molto consigliata) di nominarlo per una corretta ed efficace gestione di un sistema privacy;
– il diritto all’oblio, per cui ogni interessato potrà richiedere la rimozione di propri dati personali per motivi legittimi (per esempio, potremo chiedere di essere “dimenticati” on line);
– la previsione delle figure dei “joint controllers” (titolari congiunti), che potranno “spartirsi” le responsabilità privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi: questa novità sarà d’aiuto, in particolare, nel settore del cloud computing providing (fino ad oggi difficilmente inquadrabile nei vecchi schemi titolare/responsabile);
– la previsione del concetto di “stabilimento principale” del titolare, per evitare che un’impresa attiva in più Stati UE debba fronteggiare gli adempimenti nazionali di ogni singolo Stato;
– la previsione del ruolo di “lead authority”, in modo tale che vi sia un solo Garante di volta in volta responsabile dei procedimenti multi-Stato;
– sanzioni molto più pesanti, fino al 4% del volume d’affari globale di un’impresa (o 100 000 000 €), per assicurare che la privacy inizi a diventare un tema sensibile anche per i consigli di amministrazione di grandi colossi multinazionali, vedi Google ad esempio;
– l’introduzione del principio della cosiddetta “accountability”, per il quale ogni titolare, in caso di problemi o controlli, dovrà dimostrare nei fatti, al di là dei formalismi, di avere adottato i modelli organizzativi e le misure di sicurezza logiche, fisiche, elettroniche per proteggere i dati;
– l’obbligo di attenersi, nell’ideazione di nuovi prodotti o servizi, ai principi della “data protection by design” e della “data protection by default”, cioè l’applicazione di principi di project management alla privacy, essa deve far parte del DNA di un’organizzazione;
– i data breach, ovvero la segnalazione, entro 72 ore, di un trattamento non corretto e/o errato, all’autorità ed all’interessato.
Si può quindi notare una forte attenzione sul ruolo centrale della tutela dei dati personali, come recita il considerando 4 del regolamento:
4) Il Trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ottemperanza al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva i principi riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea e sanciti dai trattati, in particolare il diritto al rispetto della vita privata e familiare, del domicilio e delle comunicazioni, il diritto alla protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, così come la diversità culturale, religiosa e linguistica e sulle sicurezze intrinseche necessarie e su principali principi di ispirazione del trattamento dei dati personali.
Quindi la domanda che dobbiamo porci è: siamo pronti?
Per completezza riportiamo l’infografica pubblicata dall’Autorità Garante per la tutela del dato personale.
