Il Regolamento Europeo: gli adempimenti documentali

10/11/2014
di Alessandro Cecchetti

L’incremento delle violazioni informatiche e la percezione dei rischi nelle operazioni on-line, come del resto l’incertezza giuridica specie per le multinazionali circa il diritto applicabile, sono solo alcune delle esigenze fondanti un cambiamento epocale in materia di protezione di dati personali, ed alle quali l’ormai prossimo Regolamento Europeo in materia di Data Protection intende rispondere.

Significativo è indubbiamente il tipo di atto derivato vincolante prescelto per attuare la riforma della materia. Difatti la portata generale, l’obbligatorietà e soprattutto la diretta applicabilità, tutte caratteristiche attribuite dall’art. 288 TFUE al Regolamento, evidenziano la ferma intenzione delle Istituzioni sovranazionali a dettare in modo uniforme in tutti gli Stati membri la disciplina sul trattamento dati. Una volta stabilito il testo definitivo, la nuova normativa entrerà in vigore senza atti di recepimento statali che ne possano compromettere la simultanea ed omogenea applicazione, e l’attuale frammentazione delle normativa nazionali in materia di privacy verrà effettivamente ricondotta ad unità.

EuropaBen presto, quindi, molte delle imprese stabilite nel territorio dell’UE o extra UE, che forniscono servizi gratuiti o a pagamento a cittadini che si trovano in Europa, dovranno confrontarsi con gli adempimenti (anche) documentali imposti dal Regolamento.

Provando a definire quelli principali, da una prima lettura è evidente che la trasparenza nei confronti dell’interessato in merito al trattamento dei dati personali che lo riguardano è fatto proprio anche dal nuovo testo di riforma, atteso che il titolare sarà ancora tenuto a rendere un’informativa privacy ed acquisire, se dovuti, i necessari consensi. L’informativa avrà probabilmente un contenuto più ampio di quello oggi noto, dettato dall’art. 13 dell’attuale Codice, posto che dovrà precisare anche quali sono i dati ulteriori ed eccedenti a quelli necessari per il raggiungimento dello scopo, nonché l’indicazione del periodo di conservazione ultroneo rispetto a quello minimo per il perseguimento delle finalità.

Inoltre i concetti di privacy by design e privacy by default disposti dal Regolamento, imporranno al titolare l’obbligo di mettere in piedi adeguate procedure, sia tecniche che organizzative, volte ad assicurare che il trattamento sia già ab initio conforme alle disposizioni del nuovo testo. Saranno pertanto indispensabili specifiche clausole contrattuali, o meglio – anche in considerazione dell’incidenza del trattamento sulla riservatezza dell’interessato o rispetto all’evoluzione informatica degli strumenti usati per effettuarlo – la sottoscrizione di SLA (Service Level Agreement) o PLA (Privacy Level Agreement) con i fornitori.

Rispetto poi a specifici trattamenti quali – a titolo meramente esemplificativo e non esaustivo – la profilazione, la geolocalizzazione, la solvibilità economica, la videosorveglianza o la biometria, il titolare dovrà compiere una preventiva valutazione di impatto (PIAPrivacy Impact Assessment) adeguatamente documentata, che contenga almeno una descrizione sommaria del trattamento, i rischi per i diritti degli interessati e le conseguenti misure di sicurezza e procedure attuate per ovviare a tali rischi, sì da dimostrare la conformità del trattamento al Regolamento.

Come si può notare a cambiare è la concezione della privacy in azienda, che passa da adempimento successivo ad analisi propedeutica. Cambiamento “incoraggiato” anche dalle sanzioni avvisate dal testo europeo.

Per di più le eventuali violazioni di dati personali (c.d. data breach) dovranno essere notificate senza ritardo (ove possibile entro 24 ore) alle autorità preposte e tale comunicazione dovrà contenere alcune specifiche informazioni utili a descrivere le circostanze della violazione stessa.

Una risposta efficace a tutti questi obblighi (si pensi anche solo al data breach o ai PIA) passa da un’organizzazione precisa e ben ponderata per le Società titolari, che dovranno strutturarsi internamente attraverso un organigramma privacy che si spieghi in atti di nomina diretti a definire in modo inequivocabile “chi fa cosa”, ma anche con accordi infragruppo per i servizi corporate, e con i già citati SLA e PLA. Delle procedure precise in tal senso sono quasi un atto dovuto anche in considerazione degli audit imposti dal Regolamento, stabiliti per garantire una valutazione costante dello stato dell’arte in materia di protezione dei dati personali.

Questi sono solo alcuni degli adempimenti documentali contenuti nel Regolamento, ricordando, in ultimo, che anche la scelta del DPO (Data Protection Officer) – figura già soggetta ad ampie interpretazioni e dibattiti – e la sua formalizzazione sarà un passaggio obbligato critico, ma fondamentale per garantire in azienda la data protection.

Articolo pubblicato su Il Corriere della Privacy – 6 Novembre 2014

Riproduzione riservata ©

ALTRE NEWS

Visualizzare gli IP per combattere la pirateria: un suggerimento arrivato dalla Francia

Il Garante francese autorizza per la prima volta le aziende produttrici di videogiochi a raccogliere gli indirizzi IP degli utenti Internet. La CNIL, ossia l’autorità… Leggi Tutto

Delitti privacy nel catalogo dei reati sulla responsabilità ex D.lgs. 231

Con l’entrata in vigore dell’articolo 9 del DL 14/08/2013 n.93, riguardante disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere,… Leggi Tutto

Flusso di dati UE-Giappone: impegno reciproco per un sistema di protezione dei dati condiviso

Grande entusiasmo per l’esito positivo dei colloqui tra il Commissario della Commissione per la protezione delle informazioni personali del Giappone, Haruhi Kumazawa e Věra Jourová,… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form