di Marco Maglio
Le tappe che hanno portato alla riforma
Dopo quattro anni di discussione, la riforma della normativa sul trattamento dei dati personali taglia il traguardo.
Era
il 25 gennaio 2012 quando la Commissione europea presentò un pacchetto
legislativo – composto da una proposta di Regolamento e una proposta di
Direttiva concernente il trattamento dei dati personali – per aggiornare
la normativa attuale, che risale al 1995 (Direttiva 95/46/CE).
Il
perché di una riforma? Il grande impatto che internet e gli sviluppi
tecnologici hanno avuto sull’economia e le relazioni sociali ha spinto
la Commissione europea a mettere la protezione dei dati personali tra le
priorità della propria Agenda digitale. Da qui la decisione di
introdurre un regolamento generale sulla protezione dei dati che
sostituisca, senza necessità di leggi di recepimento, le singole
normative nazionali.
Il regolamento permette di raggiungere questi tre obiettivi fondamentali:
-
aggiornare i principi contenuti nella direttiva sulla protezione dei dati del 1995 e introdurre un unico testo normativo direttamente applicabile in tutti i 28 paesi membri dell’Unione europea;
-
definire i diritti delle persone fisiche e stabilire gli obblighi di coloro che trattano i dati o sono responsabili del loro trattamento;
-
stabilire anche i metodi per garantire il rispetto delle norme e la portata delle sanzioni a carico di coloro che le violano.
Dopo
lunghe discussioni, durate oltre tre anni, nella riunione straordinaria
tenutasi il 17 dicembre 2015 la Commissione per le libertà civili, la
giustizia e gli affari interni del Parlamento europeo ha espresso la sua
posizione sui testi concordati nei negoziati tra il Consiglio, il
Parlamento europeo e la Commissione. Il 18 dicembre 2015 il Comitato dei
rappresentanti permanenti (Coreper) ha approvato il testo di
compromesso definitivo del regolamento, che ora attende solo alcuni
passaggi formali prima della pubblicazione in Gazzetta ufficiale
dell’Unione europea.
Il
progetto di regolamento affronta numerose questioni fondamentali e
modifica la normativa vigente in molti elementi sostanziali. Vediamo
quali sono.
1) I diritti degli interessati
Il
regolamento elenca i diritti degli interessati, vale a dire le persone
fisiche i cui dati personali vengono trattati. Questi diritti rafforzati
conferiscono ai singoli un maggiore controllo sui propri dati personali
attraverso:
-
la necessità del chiaro consenso dell’interessato al trattamento dei dati personali;
-
un accesso facilitato dell’interessato ai suoi dati personali;
-
il diritto alla rettifica, alla cancellazione e “all’oblio“;
-
il diritto di obiezione, anche riguardo all’uso dei dati personali a fini di “profilazione”;
-
il diritto di portabilità dei dati da un prestatore di servizi a un altro.
Il
regolamento stabilisce anche l’obbligo per i responsabili del
trattamento di fornire agli interessati informazioni trasparenti e
facilmente accessibili sul trattamento dei loro dati.
2) Le figure: titolari, incaricati e Data Privacy Officer
Il
nuovo regolamento specifica gli obblighi generali dei titolari del
trattamento dei dati personali e di coloro che li trattano per loro
conto (incaricati del trattamento). Tra questi, l’obbligo di attuare
misure di sicurezza adeguate in funzione del rischio associato alle
operazioni di trattamento dei dati (approccio basato sul rischio). I
titolari del trattamento sono inoltre tenuti, in alcuni casi, a
comunicare le violazioni di dati personali (data breach notification).
Tutte le autorità pubbliche e le imprese che svolgono operazioni di
trattamento dei dati rischiose dovranno inoltre nominare un’ulteriore
figura responsabile della protezione dei dati: si tratta del cosiddetto
Data Privacy Officer.
3) I Garanti, le novità per le multinazionali e le nuove sanzioni
Il
regolamento conferma l’attuale obbligo per gli Stati membri dell’Unione
europea di istituire un’autorità di controllo indipendente a livello
nazionale; punta anche a istituire meccanismi per garantire la coerenza
nell’applicazione della normativa sulla protezione dei dati in tutta
l’UE. In particolare, nei casi transfrontalieri importanti in cui sono
coinvolte diverse autorità di controllo nazionali, si adotterà una
decisione di controllo unica. In base a questo principio, noto come
“sportello unico“, una società con controllate in diversi Stati membri
dovrà interagire solo con l’autorità preposta alla protezione dei dati
nello Stato membro in cui ha lo stabilimento principale.
Il
progetto di accordo prevede anche l’istituzione di un Comitato europeo
per la protezione dei dati, che comprenderà rappresentanti di tutte le
28 autorità di controllo indipendenti.
È
riconosciuto il diritto degli interessati di proporre reclamo
all’autorità di controllo, nonché il diritto a un ricorso
giurisdizionale e il diritto al risarcimento e responsabilità. Gli
interessati, inoltre, avranno il diritto di ottenere il riesame da parte
di un giudice nazionale delle decisioni adottate dalle rispettive
autorità preposte alla protezione dei dati. E ciò a prescindere dallo
Stato membro in cui il responsabile del trattamento dei dati è
stabilito.
Per
i responsabili o gli incaricati del trattamento che violano le norme
sulla protezione dei dati sono previste sanzioni molto severe, fino a 20
milioni di euro o al 4% del loro fatturato globale annuo, imposte dalle
autorità nazionali preposte alla protezione dei dati.
4) I trasferimenti di dati verso un paese terzo
La
proposta contempla anche il trasferimento di dati personali a paesi
terzi e organizzazioni internazionali. In questo caso sarà la
Commissione a valutare il livello di protezione offerto da un territorio
o da un settore di trattamento in un paese terzo. In mancanza di una
decisione di adeguatezza della Commissione, il trasferimento di dati
personali può comunque avere luogo in casi particolari o quando esistono
garanzie adeguate, come clausole di protezione dei dati, norme
vincolanti d’impresa o clausole contrattuali.
Le prossime tappe del Regolamento
Il
testo sarà presentato ai fini dell’adozione di un accordo politico in
una prossima sessione del Consiglio e, dopo l’adozione della posizione
del Consiglio in prima lettura, sarà trasmesso al Parlamento per
approvazione.
Si prevede che il regolamento entri in vigore nella primavera del 2016 e sia applicabile a partire dalla primavera del 2018.