Rivoluzione privacy. Verso il Regolamento Europeo

La privacy non sarà più la stessa. La proposta di un nuovo Regolamento Europeo in materia di protezione dei dati personali ha confermato il radicale cambiamento di rotta nel settore privacy e data protection di tutta Europa.

Da tempo era chiaro che la Direttiva 95/46/CE non potesse, da sola, far fronte all’inarrestabile sviluppo tecnologico avvenuto negli ultimi due decenni e l’esigenza di un rinnovato vigore normativo oltre ad un’articolata serie di riforme legislative risultava sempre più avvertita dagli addetti ai lavoro e non solo.

L’iter legislativo che introdurrà la nuova regolamentazione non è che agli inizi.L’attuale proposta di Regolamento, avanzata nel gennaio 2012, rappresenta infatti solo la prima fase di un processo ben più articolato. Dopo la proposta della Commissione, spetterà al Parlamento dichiarare la propria posizione in merito,  attraverso la predisposizione di un progetto in atto che verrà a sua volta trasmesso al Consiglio. A questo punto, una volta effettuate le cosiddette tre letture – in assenza di proposte di emendamento  – l’atto potrà essere adottato e pubblicato in Gazzetta ufficiale entrando in vigore dopo 20 giorni dalla pubblicazione. A partire da questa data dovranno decorrere due anni per poter essere effettivamente applicato.

Riconosciuto in 28 stati membri dell’Unione Europea il Regolamento rivoluzionerà l’attuale assetto privacy del vecchio continente, apportando importanti modifiche alle attuali normative vigenti, compreso il nostro Codice della Privacy (D.Lgs. 196/2003) che manterrà – oltre a qualche sezione non specificatamente disciplinata dal Regolamento – soltanto l’impianto esterno. Secondo quanto previsto dal Legislatore comunitario infatti, la nuova normativa non potrà essere replicata con norme di contenuto identico o similare in ogni Stato Membro. In quanto atto di diritto emanato dall’Unione Europea, il Regolamento sarà obbligatorio in tutti i suoi elementi e direttamente applicabile (“self-executing”) negli stati membri, non necessitando di alcun atto di recepimento o attuazione.

Nate dall’esigenza di rafforzare la tutela dei dati personali dei cittadini europei  e dalla volontà di agevolare le realtà imprenditoriali attraverso procedure più snelle ed oneri meno gravosi, le nuove norme accresceranno l’operatività e la gestibilità delle informazioni e dei dati. Tali semplificazioni saranno consentite dal consolidamento del cosiddetto “diritto all’oblio” – in particolare in ambiente online – per cui è prevista la possibilità per il soggetto interessato di ottenere l’eliminazione dei dati che lo riguardano e l’introduzione del “diritto alla portabilità del dato”, secondo il quale un cittadino potrà facilmente traghettare i propri dati elettronici da un fornitore all’altro. Quest’ultima previsione trova dimostrazione nell’articolo 18 del Regolamento:

1. L’interessato ha il diritto, ove i dati personali siano trattati con mezzi elettronici e in un formato strutturato e di uso comune, di ottenere dal responsabile del trattamento copia dei dati trattati in un formato elettronico e strutturato che sia di uso comune e gli consenta di farne ulteriore uso.
2. Se ha fornito i dati personali e il trattamento si basa sul consenso o su un contratto, l’interessato ha il diritto di trasmettere tali dati personali e ogni altra informazione fornita e conservata in un sistema di trattamento automatizzato a un altro sistema in un formato elettronico di uso comune, senza impedimenti da parte del responsabile del trattamento da cui sono richiamati i dati.
3. La Commissione può specificare il formato elettronico di cui al paragrafo 1 e le normetecniche, le modalità e le procedure di trasmissione dei dati personali a norma del   paragrafo2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.

Nel Regolamento troverà ampio spazio anche il principio dell’accountability, secondo cui il responsabile del trattamento oltre ad essere obbligato ad adottare misure appropriate ed efficaci per la protezione dei dati, è obbligato a dimostrare – su richiesta dell’Autorità competente – che ha adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali. Tale principio può essere dunque tradotto secondo una duplice ottica, vale a dire sia come principio di responsabilità e sia come prova della responsabilità al tempo stesso, divenendo un autentico paradigma nel trattamento dei dati personali.

Sullo scenario normativo europeo farà il suo ingresso l’obbligo di notificazione delle violazioni di dati personali. Il responsabile del trattamento è tenuto a notificare la violazione tempestivamente, possibilmente entro le 24 ore dalla scoperta. Oltre tale termine la notificazione dovrà essere accompagnata da una giustificazione motivata. All’interno della comunicazione dovrà essere descritta non solo la natura della violazione dei dati, ma anche la formulazione di raccomandazioni nei confronti dell’interessato affinché siano attenuati i potenziali effetti negativi.