Privacy, l’ondata del Regolamento Europeo

13/02/2013
di Valentina Frediani

Progettare per la privacy, dotarsi di figure responsabili della tutela dei dati, massima trasparenza in caso di violazione. Le disposizioni del nuovo testo europeo commentate dall’Avv. Valentina Frediani su Punto Informatico.

dirittoinf_19666995_xxlIl nuovo Regolamento Europeo si preannuncia una vera e propria rivoluzione. Presentato alla Commissione Europea lo scorso 25 Gennaio 2012, il testo ha subito emendamenti pubblicati a fine gennaio 2013, e si presenta sempre più come un ambizioso progetto considerato che sarà valido in tutta l´Unione andando a cambiare radicalmente i presenti scenari, depauperando per molti aspetti, del suo ruolo il vigente Codice privacy.

Tra gli argomenti attualmente in fase di definizione, uno dei più importanti riguarda proprio il margine di autonomia decisionale che manterranno gli Stati Membri nell´applicazione di alcune regole specifiche sul proprio territorio. Secondo quanto previsto dal Regolamento saranno conservate alcune norme nazionali.
Il principale risultato del Regolamento sul lungo periodo dovrebbe essere quello di garantire una maggiore semplificazione nei rapporti intracomunitari, non fosse altro che per l´applicazione di una normativa unica valida in tutta Europa. Certo è che prima di adeguarsi alle novità introdotte dai nuovi adempimenti sorgeranno non poche difficoltà, soprattutto in ambito di applicazione pratica delle neonate normative.

In questo clima di attesa crescente e grande fermento, la domanda che tutti si pongono è: cosa cambierà – sul piano concreto – con il nuovo Regolamento?
Le definizioni fondamentali rimangono invariate, ma contano alcune aggiunte significative come quella relativa al dato genetico e quella del dato biometrico. Il Regolamento introduce inoltre il principio dell´applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell´UE, se relativi all´offerta di beni o servizi ai cittadini UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell´Unione Europea.

Non di secondaria importanza l´introduzione del diritto degli interessati alla “portabilità del dato” da un provider all´altro, in formato neutro e quello del “diritto all´oblio”, vale a dire la facoltà per ogni interessato di decidere e richiedere la rimozione di informazioni e dati personali per motivi legittimi dopo un determinato periodo di tempo, questione riferita soprattutto alla realtà digitale. L´esercizio di tale diritto deve tuttavia rispettare alcune esigenze specifiche come quella della libertà di espressione o la possibilità di condurre ricerche storiche.

Tra le novità più rilevanti ricordiamo l´obbligo per talune aziende e per gli enti pubblici di nominare un “data protection officer”. Figura interessante, considerato che una volta acquisita dovrà essere “mantenuta” per alcuni anni all´interno della struttura, ed il rapporto potrà essere interrotto solo ed esclusivamente per cause tassativamente riportate dal legislatore europeo, proprio per garantire continuità della protezione ed oggettività e trasparenza del soggetto.

Oltre all´introduzione del cosiddetto principio generale di “privacy by design” – disposizione che impone la previsione di misure a protezione dei dati già al momento della progettazione di un software o di un prodotto, il Regolamento introduce anche il requisito del “privacy impact assessment”, vale a dire la valutazione dell´impatto privacy con riferimento all´avvio di un nuovo trattamento per talune tipologie di dati (videosorveglianza, sanitari, biometrici ecc). Un concetto completamente stravolto rispetto al nostro attuale sistema: preventivare i rischi, preliminarmente adottare soluzioni che già in sede di raccolta del primo dato siano capaci di tutelarlo, con una “anticipazione” di responsabilità già sulla parte di progettazione.

Sanzioni altissime per i trasgressori, fino ad un milione di euro o al 2 per cento del fatturato annuale di un´azienda a livello globale. Tra le misure preventive preme menzionare l´obbligo di notifica di qualunque violazione di dati personali all´Autorità di controllo (nuova istituzione) e ai diretti interessati se a rischio di danno. Non meno rilevante l´introduzione della figura del “Joint Controller” o responsabile congiunto: nello specifico potranno sussistere due responsabili i quali – per un medesimo trattamento di dati personali – saranno tenuti a concordare in un contratto il perimetro delle rispettive responsabilità privacy. Il loro accordo avrà valore anche in caso di controllo da parte dell´autorità giudiziaria o amministrativa.

Non resta che attendere l´approvazione, e verificare il testo finale. Alcuni passaggi rinvenibili nel testo attualmente fanno comunque sorgere qualche dubbio: recentemente l´ambito di applicazione del Regolamento con riferimento alle strutture destinatarie è passato dall´avere almeno 250 dipendenti, al gestire 500 interessati (con alcuni criteri a corredo). La questione dunque è in corsa. Appare quanto mai opportuno, però, per le grandi realtà aziendali e nel pubblico, cominciare a familiarizzare con l´argomento, perché non sarà certamente indolore passare da quattro adempimenti cartacei e qualche misura di sicurezza, ad una vera e propria organizzazione della sicurezza con reperimento di figure preparate sia sotto il profilo informatico che organizzativo e non in ultimo, normativo.

 

Riproduzione riservata ©

ALTRE NEWS

Tutti chiedono Privacy, ma quanti la conoscono? Il Censis risponde

Il rapporto Censis parla di privacy, quella cercata e voluta dagli italiani; ma anche quella che non si sa bene come gestire, ottenere e tutelare…. Leggi Tutto

GDPR, i testi in Gazzetta Ufficiale. Due anni da oggi per adeguarsi in materia di data protection

Il 14 aprile scorso l’approvazione definitiva della nuova GDPR – General Data Protection Regulation, ieri, 4 maggio 2016, la pubblicazione dei testi ufficiali in G.U.U.E….. Leggi Tutto

Industrial IoT e privacy by design: come applicare correttamente il GDPR ai dispositivi

Articolo Pubblicato da IOTtoday il 30 Ottobre 2020 La compliance in materia di privacy riguarda anche l’Industrial IoT e le sue linee di produzione. Sistemi e macchinari… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.