Privacy, l’ondata del Regolamento Europeo

13/02/2013
di Valentina Frediani

Progettare per la privacy, dotarsi di figure responsabili della tutela dei dati, massima trasparenza in caso di violazione. Le disposizioni del nuovo testo europeo commentate dall’Avv. Valentina Frediani su Punto Informatico.

dirittoinf_19666995_xxlIl nuovo Regolamento Europeo si preannuncia una vera e propria rivoluzione. Presentato alla Commissione Europea lo scorso 25 Gennaio 2012, il testo ha subito emendamenti pubblicati a fine gennaio 2013, e si presenta sempre più come un ambizioso progetto considerato che sarà valido in tutta l´Unione andando a cambiare radicalmente i presenti scenari, depauperando per molti aspetti, del suo ruolo il vigente Codice privacy.

Tra gli argomenti attualmente in fase di definizione, uno dei più importanti riguarda proprio il margine di autonomia decisionale che manterranno gli Stati Membri nell´applicazione di alcune regole specifiche sul proprio territorio. Secondo quanto previsto dal Regolamento saranno conservate alcune norme nazionali.
Il principale risultato del Regolamento sul lungo periodo dovrebbe essere quello di garantire una maggiore semplificazione nei rapporti intracomunitari, non fosse altro che per l´applicazione di una normativa unica valida in tutta Europa. Certo è che prima di adeguarsi alle novità introdotte dai nuovi adempimenti sorgeranno non poche difficoltà, soprattutto in ambito di applicazione pratica delle neonate normative.

In questo clima di attesa crescente e grande fermento, la domanda che tutti si pongono è: cosa cambierà – sul piano concreto – con il nuovo Regolamento?
Le definizioni fondamentali rimangono invariate, ma contano alcune aggiunte significative come quella relativa al dato genetico e quella del dato biometrico. Il Regolamento introduce inoltre il principio dell´applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell´UE, se relativi all´offerta di beni o servizi ai cittadini UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell´Unione Europea.

Non di secondaria importanza l´introduzione del diritto degli interessati alla “portabilità del dato” da un provider all´altro, in formato neutro e quello del “diritto all´oblio”, vale a dire la facoltà per ogni interessato di decidere e richiedere la rimozione di informazioni e dati personali per motivi legittimi dopo un determinato periodo di tempo, questione riferita soprattutto alla realtà digitale. L´esercizio di tale diritto deve tuttavia rispettare alcune esigenze specifiche come quella della libertà di espressione o la possibilità di condurre ricerche storiche.

Tra le novità più rilevanti ricordiamo l´obbligo per talune aziende e per gli enti pubblici di nominare un “data protection officer”. Figura interessante, considerato che una volta acquisita dovrà essere “mantenuta” per alcuni anni all´interno della struttura, ed il rapporto potrà essere interrotto solo ed esclusivamente per cause tassativamente riportate dal legislatore europeo, proprio per garantire continuità della protezione ed oggettività e trasparenza del soggetto.

Oltre all´introduzione del cosiddetto principio generale di “privacy by design” – disposizione che impone la previsione di misure a protezione dei dati già al momento della progettazione di un software o di un prodotto, il Regolamento introduce anche il requisito del “privacy impact assessment”, vale a dire la valutazione dell´impatto privacy con riferimento all´avvio di un nuovo trattamento per talune tipologie di dati (videosorveglianza, sanitari, biometrici ecc). Un concetto completamente stravolto rispetto al nostro attuale sistema: preventivare i rischi, preliminarmente adottare soluzioni che già in sede di raccolta del primo dato siano capaci di tutelarlo, con una “anticipazione” di responsabilità già sulla parte di progettazione.

Sanzioni altissime per i trasgressori, fino ad un milione di euro o al 2 per cento del fatturato annuale di un´azienda a livello globale. Tra le misure preventive preme menzionare l´obbligo di notifica di qualunque violazione di dati personali all´Autorità di controllo (nuova istituzione) e ai diretti interessati se a rischio di danno. Non meno rilevante l´introduzione della figura del “Joint Controller” o responsabile congiunto: nello specifico potranno sussistere due responsabili i quali – per un medesimo trattamento di dati personali – saranno tenuti a concordare in un contratto il perimetro delle rispettive responsabilità privacy. Il loro accordo avrà valore anche in caso di controllo da parte dell´autorità giudiziaria o amministrativa.

Non resta che attendere l´approvazione, e verificare il testo finale. Alcuni passaggi rinvenibili nel testo attualmente fanno comunque sorgere qualche dubbio: recentemente l´ambito di applicazione del Regolamento con riferimento alle strutture destinatarie è passato dall´avere almeno 250 dipendenti, al gestire 500 interessati (con alcuni criteri a corredo). La questione dunque è in corsa. Appare quanto mai opportuno, però, per le grandi realtà aziendali e nel pubblico, cominciare a familiarizzare con l´argomento, perché non sarà certamente indolore passare da quattro adempimenti cartacei e qualche misura di sicurezza, ad una vera e propria organizzazione della sicurezza con reperimento di figure preparate sia sotto il profilo informatico che organizzativo e non in ultimo, normativo.

 

Riproduzione riservata ©

ALTRE NEWS

Riflessioni di un consulente dall’Annual Privacy Forum

Ho avuto il piacere di partecipare, a Roma, alla la settima edizione dell’Annual Privacy Forum. Confrontandomi ogni giorno con le imprese sulle tematiche relative all’utilizzo… Leggi Tutto

La Dematerializzazione Documentale: Fatturazione elettronica, Conservazione, Firma Digitale e PEC

Cosa significa aprire la propria azienda alla digitalizzazione? Innanzitutto adottare nuovi paradigmi organizzativi progettando e gestendo, in maniera integrata, i processi e le attività che… Leggi Tutto

Biometria in azienda? Con cautela!

Dal Garante una interessante pronuncia in materia di privacy, dati biometrici e rapporto di lavoro. I fatti: una azienda richiede al Garante una pronuncia ex… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.