Dopo che a dicembre 2015 ha visto la luce il testo del Regolamento, il nuovo anno porterà con sé la sua inclusione all’interno di un progetto di riforma della privacy – e quindi la sua entrata in vigore, prevista per primavera 2016 – e l’obbligo di uniformarsi entro i successivi due anni – e dunque la sua applicabilità a partire dalla primavera 2018.

Il tanto atteso il Codice Privacy Europeo va ad interessare principalmente due ambiti, quello relativo all’uso dei dati personali nel settore della sicurezza e delle attività di polizia e giustizia (mediante una direttiva che andrà recepita nei singoli Stati), e quello relativo all’uso degli stessi con riferimento a tutti i soggetti privati (sia persone fisiche che giuridiche) e ad alcuni soggetti pubblici (mediante un regolamento immediatamente applicabile).

Il Regolamento Europeo della privacy nasce per dare una normativa ad aspetti ancora non coperti da tutela e regolamentazione, quali ad esempio il diritto all’oblio, il diritto alla portabilità dei dati, la valutazione dell’impatto dell’utilizzo dei dati, il controllo, l’informativa e la figura del Data Protection Officer (DPO).

Grazie alla peculiare natura di unicum (votato al principio della leale concorrenza), il Regolamento sarà applicabile in tutti gli Stati membri ed anche nei confronti di quelle aziende extra-europee che, però, offrano servizi o beni all’interno del mercato europeo.

Come anticipato, il progetto di regolamento affronta tematiche di estrema rilevanza, quali:

• diritti degli interessati (necessità del chiaro consenso dell’interessato al trattamento dei dati personali – accesso facilitato dell’interessato ai suoi dati personali – diritto alla rettifica, alla cancellazione e “all’oblio” – diritto di obiezione, anche riguardo all’uso dei dati personali a fini di “profilazione” – diritto di portabilità dei dati da un prestatore di servizi a un altro);
• obblighi generali dei responsabili del trattamento dei dati personali;
• obbligo di attuare misure di sicurezza (Privacy Impact Assessment) adeguate in funzione del rischio (valutato in relazione alle operazioni di trattamento dei dati);
• obbligo (per i titolari del trattamento – Data controller) di attuare misure tecniche ed organizzative in grado di dimostrare la conformità del trattamento dei dati personali a quanto prescritto dal Regolamento;
• nomina di un responsabile della protezione dati (obbligatorio per PA e per aziende che trattano dati particolarmente sensibili);
• responsabilità e sanzioni per i responsabili del trattamento (fino a 20 milioni di Euro o al 4% del fatturato annuo globale);
• privacy by design (tutela del dato fin dalla progettazione) e by default (tutela della vita privata per impostazione predefinita);
• obbligo (per gli Stati membri) di istituzione di un’autorità di controllo indipendente a livello nazionale;
• diritto di proporre reclamo all’autorità di controllo;
• diritto a presentare ricorso giurisdizionale e diritto al risarcimento;
• diritto ad ottenere il riesame da parte di un giudice nazionale delle decisioni adottate dalle rispettive autorità preposte alla protezione dei dati, a prescindere dallo Stato membro in cui è stabilito il responsabile del trattamento dei dati;
• istituzione di un comitato europeo per la protezione dei dati;
• d. one-stop-shop o sportello unico (le società attive con controllate in diversi Stati membri dovranno interagire solo con l’autorità preposta alla protezione dei dati nello Stato membro in cui ha lo stabilimento principale);
• trasferimento di dati personali a paesi terzi e organizzazioni internazionali, affidando alla Commissione i compiti di verifica del livello di protezione offerto da un territorio o da un settore di trattamento (n.b. il Regolamento riconosce BCRs come meccanismo valido per trasferire dati fuori dall’UE).

Tutto ciò per le PMI si tradurrà, fortunatamente, in una diminuzione dei costi e degli oneri burocratici grazie ad un approccio che permetterà di parametrare gli obblighi all’effettivo rischio corso dalla singola azienda. Per fare un esempio, infatti, grazie alIl Codice Privacy Europeo, per le aziende di piccole e medie dimensioni vengono aboliti sia gli obblighi di notifica alle autorità di controllo (stimati in ca. 130 milioni di Euro/anno) che quelli di valutazione d’impatto del rischio (salvo in caso di rischi elevati), nonché quelli di nomina del responsabile per la protezione dei dati (se il trattamento dati non é attività prevalente).

Ancora, a fronte di richieste di accesso ai dati che non siano fondate o siano eccessive viene riconosciuta in capo alle PMI la facoltà di domandare il risarcimento delle spese.

E’, quindi, evidente – come ha detto anche il presidente di Federprivacy Nicola Bernardi – che

con l’approvazione del regolamento europeo, le aziende hanno adesso una opportunità unica di sfruttare il mercato digitale. 

Ora non resta che essere open minded e affidarsi a professionisti specializzati.

Avv. Anna Capoluongo

L'articolo La privacy in Europa: quali sono le novità? sembra essere il primo su Osservatorio Digitale PMI.

Le PMI italiane, in larga parte ancora poco avvezze e diffidenti verso questi nuovi mercati, vedono le New Tech come un mezzo ulteriore (e – oseremmo dire – ultimo) di vendita, da aggiungersi ad un sistema già rodato e funzionante.

La realtà è che le nuove tecnologie non sono l’ultima ruota – aggiuntiva – del carro, ma sono l’ingranaggio stesso ed in quanto tali devono essere pensate. Ciò comporta che non debbano essere usate marginalmente, ma che la struttura stessa delle PMI debba essere rivista in funzione dell’ingranaggio da cui il moto deve ripartire.

Perchè, dunque, le Aziende possano rinascere con queste nuove caratteristiche ed incastellature è, per forza di cose, necessario conoscere le basi tanto tecniche quanto legali del sistema, così da non incorrere in limitazioni alcune o, peggio, incappare in dolorosi fallimenti a favore di concorrenti meglio preparati.

Una prima digressione giuridica merita il tema della Privacy, anche in vista del quantitativo di sanzioni comminate dal Garante sul tema (ancora nel 2014), quasi tutte riguardanti violazioni per mancata adozione delle misure di sicurezza, omessa o carente informativa ed uso illecito di dati personali.

Il D.lgs 196/2003 é volto a delineare i principi generali che trovano attuazione nella materia in oggetto, lasciando il compito al Garante di dettare le norme specifiche di settore mediante i propri provvedimenti, così che si parte dal principio ormai pacifico ed inequivocabile che “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” per arrivare a declinare le sfumature che lo stesso può o deve assumere nelle singole fattispecie.

E così, nel mare magnum contenuto nel Codice della Privacy, è il caso di specificare, preliminarmente, che per dato personale si intende (ex art. 4) “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.

Ciò posto, come dicevamo, le sanzioni hanno interessato principalmente (in ordine squisitamente numerico) gli articoli 13, 33 (e ss.) e 167. E così, è giusto il caso di ricordare che se è vero che l’interessato o la persona presso la quale sono raccolti i dati personali debbano essere previamente informati oralmente o per iscritto circa la vasta elencazione contenuta nell’art. 13 (c.d. “consenso informato” ed alla cui lettura si rimanda), tale informativa deve rispettare anche i diritti elencati all’art. 7 del Codice stesso.

Inoltre, in tema di “e-Privacy” (v. anche D.lgs 69/2012) non si può non tener conto di quanto stabilito dal Garante in materia con il provvedimento 8 maggio 2014, così che l’informativa – a oggi e in tema di cookies di profilazione – deve soddisfare ulteriori requisiti, tra cui ricordiamo il dover essere “duplice” (una prima informativa breve contenuta in un banner con rimando mediante link ad una seconda informativa estesa e completa).

Riguardando il “right to privacy” diritti e valori tutelati tanto costituzionalmente quanto a più alti livelli, è altrettanto necessario che siano previste delle misure minime di sicurezza per il trattamento dei dati raccolti e quindi:

• qualora il trattamento avvenga mediante strumenti elettronici, queste si concretizzeranno in autenticazione informatica; in adozione di procedure di gestione delle credenziali di autenticazione; in utilizzazione di un sistema di autorizzazione; in aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; in protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; in adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; ed in adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari;

• qualora avvenga senza l’ausilio di strumenti elettronici, consisteranno in un aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; nella previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; e nella previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.

Infine, last but not least, anche le sanzioni per chi, agendo al fine di trarne profitto per sé od altri, utilizzi illecitamente i dati personali raccolti rispecchiano l’esigenza di forte tutela di diritti garantiti ai più alti livelli e, pertanto, hanno carattere di rilevanza. Qualora si agisca, infatti, in violazione delle espresse previsioni sul trattamento dei dati (articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129), e salvo che il fatto costituisca più grave reato, il Codice prevede la punizione della reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Quanto, poi, alla violazione di quanto disposto ex artt. 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, la pena prevista é la reclusione da uno a tre anni, se dal fatto deriva nocumento.

E così, citando il Presidente di Confindustria Digitale “bisogna superare la logica dei pacchetti e cercare soluzioni web che aiutino l’impresa a cambiare pelle, innovarsi e cercare nuovi mercati”, e per dirla alla Purassanta, “Chi non si rinnova scomparirà”.

Avv. Anna Capoluongo
Studio Legale Capoluongo

L'articolo De rerum… Privacy sembra essere il primo su Osservatorio Digitale PMI.