privacy computer

La privacy in Europa: quali sono le novità?

/in , /da

Il Codice Privacy Europeo segna un nuovo passo verso la globalizzazione in materia di privacy e di tutela dei dati personali.

Dopo che a dicembre 2015 ha visto la luce il testo del Regolamento, il nuovo anno porterà con sé la sua inclusione all’interno di un progetto di riforma della privacy – e quindi la sua entrata in vigore, prevista per primavera 2016 – e l’obbligo di uniformarsi entro i successivi due anni – e dunque la sua applicabilità a partire dalla primavera 2018.

Il tanto atteso il Codice Privacy Europeo va ad interessare principalmente due ambiti, quello relativo all’uso dei dati personali nel settore della sicurezza e delle attività di polizia e giustizia (mediante una direttiva che andrà recepita nei singoli Stati), e quello relativo all’uso degli stessi con riferimento a tutti i soggetti privati (sia persone fisiche che giuridiche) e ad alcuni soggetti pubblici (mediante un regolamento immediatamente applicabile).

Il Regolamento Europeo della privacy nasce per dare una normativa ad aspetti ancora non coperti da tutela e regolamentazione, quali ad esempio il diritto all’oblio, il diritto alla portabilità dei dati, la valutazione dell’impatto dell’utilizzo dei dati, il controllo, l’informativa e la figura del Data Protection Officer (DPO).

Grazie alla peculiare natura di unicum (votato al principio della leale concorrenza), il Regolamento sarà applicabile in tutti gli Stati membri ed anche nei confronti di quelle aziende extra-europee che, però, offrano servizi o beni all’interno del mercato europeo.

privacy definition

Come anticipato, il progetto di regolamento affronta tematiche di estrema rilevanza, quali:

  • diritti degli interessati (necessità del chiaro consenso dell’interessato al trattamento dei dati personali – accesso facilitato dell’interessato ai suoi dati personali – diritto alla rettifica, alla cancellazione e “all’oblio” – diritto di obiezione, anche riguardo all’uso dei dati personali a fini di “profilazione” – diritto di portabilità dei dati da un prestatore di servizi a un altro);
  • obblighi generali dei responsabili del trattamento dei dati personali;
  • obbligo di attuare misure di sicurezza (Privacy Impact Assessment) adeguate in funzione del rischio (valutato in relazione alle operazioni di trattamento dei dati);
  • obbligo (per i titolari del trattamento – Data controller) di attuare misure tecniche ed organizzative in grado di dimostrare la conformità del trattamento dei dati personali a quanto prescritto dal Regolamento;
  • nomina di un responsabile della protezione dati (obbligatorio per PA e per aziende che trattano dati particolarmente sensibili);
  • responsabilità e sanzioni per i responsabili del trattamento (fino a 20 milioni di Euro o al 4% del fatturato annuo globale);
  • privacy by design (tutela del dato fin dalla progettazione) e by default (tutela della vita privata per impostazione predefinita);
  • obbligo (per gli Stati membri) di istituzione di un’autorità di controllo indipendente a livello nazionale;
  • diritto di proporre reclamo all’autorità di controllo;
  • diritto a presentare ricorso giurisdizionale e diritto al risarcimento;
  • diritto ad ottenere il riesame da parte di un giudice nazionale delle decisioni adottate dalle rispettive autorità preposte alla protezione dei dati, a prescindere dallo Stato membro in cui è stabilito il responsabile del trattamento dei dati;
  • istituzione di un comitato europeo per la protezione dei dati;
  • d. one-stop-shop o sportello unico (le società attive con controllate in diversi Stati membri dovranno interagire solo con l’autorità preposta alla protezione dei dati nello Stato membro in cui ha lo stabilimento principale);
  • trasferimento di dati personali a paesi terzi e organizzazioni internazionali, affidando alla Commissione i compiti di verifica del livello di protezione offerto da un territorio o da un settore di trattamento (n.b. il Regolamento riconosce BCRs come meccanismo valido per trasferire dati fuori dall’UE).

Tutto ciò per le PMI si tradurrà, fortunatamente, in una diminuzione dei costi e degli oneri burocratici grazie ad un approccio che permetterà di parametrare gli obblighi all’effettivo rischio corso dalla singola azienda. Per fare un esempio, infatti, grazie alIl Codice Privacy Europeo, per le aziende di piccole e medie dimensioni vengono aboliti sia gli obblighi di notifica alle autorità di controllo (stimati in ca. 130 milioni di Euro/anno) che quelli di valutazione d’impatto del rischio (salvo in caso di rischi elevati), nonché quelli di nomina del responsabile per la protezione dei dati (se il trattamento dati non é attività prevalente).

Ancora, a fronte di richieste di accesso ai dati che non siano fondate o siano eccessive viene riconosciuta in capo alle PMI la facoltà di domandare il risarcimento delle spese.

E’, quindi, evidente – come ha detto anche il presidente di Federprivacy Nicola Bernardi – che

con l’approvazione del regolamento europeo, le aziende hanno adesso una opportunità unica di sfruttare il mercato digitale. 

Ora non resta che essere open minded e affidarsi a professionisti specializzati.

Avv. Anna Capoluongo

 

Potrebbero interessarti
De rerum... Privacy
Il digital per lo sviluppo delle PMI italiane
E-Law per le PMI ai tempi del digital
Controlli a distanza per l'online: un vademecum.
La dichiarazione dei diritti in Internet
Evoluzione Digitale: perché il digital è importante per le PMI?