venerdì 18 dicembre 2015

La nuova era della pivacy europea: verso il Regolamento Generale sui dati personali

  di Marco Maglio

 

Le tappe che hanno portato alla riforma

Dopo quattro anni di discussione, la riforma della normativa sul trattamento dei dati personali taglia il traguardo.

Era il 25 gennaio 2012 quando la Commissione europea presentò un pacchetto legislativo – composto da una proposta di Regolamento e una proposta di Direttiva concernente il trattamento dei dati personali – per aggiornare la normativa attuale, che risale al 1995 (Direttiva 95/46/CE).
Il perché di una riforma? Il grande impatto che internet e gli sviluppi tecnologici hanno avuto sull’economia e le relazioni sociali ha spinto la Commissione europea a mettere la protezione dei dati personali tra le priorità della propria Agenda digitale. Da qui la decisione di introdurre un regolamento generale sulla protezione dei dati che sostituisca, senza necessità di leggi di recepimento, le singole normative nazionali.
Il regolamento permette di raggiungere questi tre obiettivi fondamentali:
  1. aggiornare i principi contenuti nella direttiva sulla protezione dei dati del 1995 e introdurre un unico testo normativo direttamente applicabile in tutti i 28 paesi membri dell’Unione europea;
  2. definire i diritti delle persone fisiche e stabilire gli obblighi di coloro che trattano i dati o sono responsabili del loro trattamento;
  3. stabilire anche i metodi per garantire il rispetto delle norme e la portata delle sanzioni a carico di coloro che le violano.
Dopo lunghe discussioni, durate oltre tre anni, nella riunione straordinaria tenutasi il 17 dicembre 2015 la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha espresso la sua posizione sui testi concordati nei negoziati tra il Consiglio, il Parlamento europeo e la Commissione. Il 18 dicembre 2015 il Comitato dei rappresentanti permanenti (Coreper) ha approvato il testo di compromesso definitivo del regolamento, che ora attende solo alcuni passaggi formali prima della pubblicazione in Gazzetta ufficiale dell’Unione europea.
Il progetto di regolamento affronta numerose questioni fondamentali e modifica la normativa vigente in molti elementi sostanziali. Vediamo quali sono.

1) I diritti degli interessati

 

Il regolamento elenca i diritti degli interessati, vale a dire le persone fisiche i cui dati personali vengono trattati. Questi diritti rafforzati conferiscono ai singoli un maggiore controllo sui propri dati personali attraverso:
  • la necessità del chiaro consenso dell’interessato al trattamento dei dati personali;
  • un accesso facilitato dell’interessato ai suoi dati personali;
  • il diritto alla rettifica, alla cancellazione e “all’oblio“;
  • il diritto di obiezione, anche riguardo all’uso dei dati personali a fini di “profilazione”;
  • il diritto di portabilità dei dati da un prestatore di servizi a un altro.
Il regolamento stabilisce anche l’obbligo per i responsabili del trattamento di fornire agli interessati informazioni trasparenti e facilmente accessibili sul trattamento dei loro dati.

2) Le figure: titolari, incaricati e Data Privacy Officer

 

Il nuovo regolamento specifica gli obblighi generali dei titolari del trattamento dei dati personali e di coloro che li trattano per loro conto (incaricati del trattamento). Tra questi, l’obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati (approccio basato sul rischio). I titolari del trattamento sono inoltre tenuti, in alcuni casi, a comunicare le violazioni di dati personali (data breach notification). Tutte le autorità pubbliche e le imprese che svolgono operazioni di trattamento dei dati rischiose dovranno inoltre nominare un’ulteriore figura responsabile della protezione dei dati: si tratta del cosiddetto Data Privacy Officer.

3) I Garanti, le novità per le multinazionali e le nuove sanzioni

 

Il regolamento conferma l’attuale obbligo per gli Stati membri dell’Unione europea di istituire un’autorità di controllo indipendente a livello nazionale; punta anche a istituire meccanismi per garantire la coerenza nell’applicazione della normativa sulla protezione dei dati in tutta l’UE. In particolare, nei casi transfrontalieri importanti in cui sono coinvolte diverse autorità di controllo nazionali, si adotterà una decisione di controllo unica. In base a questo principio, noto come “sportello unico“, una società con controllate in diversi Stati membri dovrà interagire solo con l’autorità preposta alla protezione dei dati nello Stato membro in cui ha lo stabilimento principale.
Il progetto di accordo prevede anche l’istituzione di un Comitato europeo per la protezione dei dati, che comprenderà rappresentanti di tutte le 28 autorità di controllo indipendenti.
È riconosciuto il diritto degli interessati di proporre reclamo all’autorità di controllo, nonché il diritto a un ricorso giurisdizionale e il diritto al risarcimento e responsabilità. Gli interessati, inoltre, avranno il diritto di ottenere il riesame da parte di un giudice nazionale delle decisioni adottate dalle rispettive autorità preposte alla protezione dei dati. E ciò a prescindere dallo Stato membro in cui il responsabile del trattamento dei dati è stabilito.
Per i responsabili o gli incaricati del trattamento che violano le norme sulla protezione dei dati sono previste sanzioni molto severe, fino a 20 milioni di euro o al 4% del loro fatturato globale annuo, imposte dalle autorità nazionali preposte alla protezione dei dati.

4) I trasferimenti di dati verso un paese terzo

 

La proposta contempla anche il trasferimento di dati personali a paesi terzi e organizzazioni internazionali. In questo caso sarà la Commissione a valutare il livello di protezione offerto da un territorio o da un settore di trattamento in un paese terzo. In mancanza di una decisione di adeguatezza della Commissione, il trasferimento di dati personali può comunque avere luogo in casi particolari o quando esistono garanzie adeguate, come clausole di protezione dei dati, norme vincolanti d’impresa o clausole contrattuali.

Le prossime tappe del Regolamento

 

Il testo sarà presentato ai fini dell’adozione di un accordo politico in una prossima sessione del Consiglio e, dopo l’adozione della posizione del Consiglio in prima lettura, sarà trasmesso al Parlamento per approvazione.

Si prevede che il regolamento entri in vigore nella primavera del 2016 e sia applicabile a partire dalla primavera del 2018.