Regolamento europeo in materia di privacy: il traguardo sembra ormai vicino
Il 25 Gennaio 2012 è stata pubblicata la proposta di Regolamento europeo sulla protezione dei dati personali, con l’obiettivo di ridurre la frammentazione giuridica in materia di tutela dei dati nei Paesi membri dell’Unione Europea. L’iter di approvazione della proposta di Regolamento, e quindi il raggiungimento del suddetto obiettivo, ha però subito dei rallentamenti.
Sul punto basti infatti considerare gli oltre 3000 emendamenti al testo, pubblicati nel mese di Gennaio 2013, le proposte del Consiglio e i negoziati tra le Istituzioni europee coinvolte, tesi a individuare un testo di comune accordo.
Lo scorso 21 Ottobre il Parlamento Europeo ha approvato le modifiche al progetto di Regolamento, riattivando pertanto l’iter di approvazione e ponendo fine alla situazione di stallo che si era creata. Sebbene non sia stato ancora pubblicato il testo ufficiale, sembra che vengano introdotte alcune importanti novità.
Sono modificati i presupposti in presenza dei quali le imprese avranno l’obbligo di designare un Data Protection Officer; vengono infatti indicati, quali parametri, sia quello del numero di interessati i cui dati personali siano trattati per un periodo consecutivo di un anno (numero fissato in oltre 5.000 persone), sia quello legato alla natura dei dati trattati per lo svolgimento della propria attività principale (si pensi ad esempio al trattamento dei dati sensibili da parte delle strutture sanitarie).
In materia di notifica delle violazioni dei dati personali, viene eliminato il termine di ventiquattro ore per procedere alla segnalazione e tale limite temporale non viene sostituito da altra indicazione, pur rimanendo necessario procedere alla notifica “senza indebito ritardo”.
Viene esteso l’ambito di applicazione territoriale del Regolamento anche a coloro che abbiano sede fuori dall’UE se il trattamento riguarda l’offerta di beni o servizi, anche gratuiti, all’interno di Paesi membri.
Vengono poi rafforzati gli strumenti sanzionatori e introdotti nuovi concetti, quali quello di “pseudonymous data” (ossia dati personali che non possono essere attribuiti a un soggetto specifico senza l´utilizzo di informazioni aggiuntive, purché quest’ultime siano tenute separate e gestite con l’adozione di misure idonee a garantire la non attribuzione) e quello di “European Data Protection Seal” (cioè una certificazione che garantisce un certo grado di affidamento nel trasferimento dei dati tra soggetti che ne siano in possesso).
Alla luce di tali indicazioni, appare evidente la necessità di esaminare con attenzione il testo approvato dal Parlamento, una volta pubblicato, al fine di individuare e valutare le modifiche, di indubbio rilievo, specificamente introdotte.
Non ci si può tuttavia esimere dal rilevare fin d’ora che il voto del Parlamento UE dello scorso 21 Ottobre costituisce certamente un passo importante nell’iter di approvazione del Regolamento europeo che dovrebbe concludersi nei prossimi mesi, dovendosi peraltro rammentare che, una volta in vigore, il Regolamento troverà diretta applicazione in tutti gli Stati membri.
