Privacy – Nuovo Regolamento Europeo 2016/679 cosa cambia.

LE PRINCIPALI NOVITÀ

Ambito di applicazione territoriale

Le norme attuali.

L’attuale Direttiva 95/46 prevede che la disciplina in materia di tutela di dati personali trovi applicazione, per il tramite delle legislazioni nazionali, quando il trattamento di dati personali è effettuato “nel contesto delle attività di uno stabilimento del titolare situato nell’UE”.

Sulla base di tale principio, il vigente Codice Privacy (art. 5) prevede che le sue norme s’applichino:

  • Al “trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato [italiano] o in luogo comunque soggetto alla sovranità dello Stato [italiano]”; e
  • “Al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato [italiano] anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea”.

Le nuove norme.

Una delle maggiori caratteristiche del Nuovo Regolamento è senz’altro il suo ambito di applicazione, che si pone in maniera innovativa sotto due profili:

  • Propone un nuovo concetto di stabilimento;
  • L’ambito di applicazione viene esteso anche a titolari e responsabili di trattamento non residenti nell’UE.

Il Regolamento 2016/679 infatti, rovescia il tradizionale concetto di stabilimento, consentendo l’applicazione della disciplina dallo stesso dettata “indipendentemente dal fatto che il trattamento sia effettuato nell’Unione” estendendo le sue regole anche a Titolari e Responsabili non stabiliti nell’UE3 che trattino dati personali di persone fisiche che si trovano nell’UE quando il trattamento è in relazione a offerte di beni e servizi, indipendentemente dal fatto che sia richiesto o meno un pagamento, o effettuino attività di monitoraggio comportamentale di persone fisiche che si trovano all’interno dell’UE se tale comportamento viene rilevato nell’UE.

 

NUOVI OBBLIGHI E RESPONSABILITA’

Il Nuovo Regolamento definisce nuovamente le figure di Titolare e Responsabile attribuendo loro obblighi ulteriori rispetto a quanto previsto dall’attuale Direttiva 95/46 e dal Codice Privacy. La mancata adozione e l’inefficienza delle policies previste costituisce per il Titolare fonte di responsabilità (principio di rendicontazione o di “accountability”, artt. 24 e 32). Con il Nuovo Regolamento il Titolare deve svolgere attività di prevenzione ed è assoggettato all’adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva dei trattamenti, anche sotto il profilo della sicurezza.

Si passa da una situazione “formalmente corretta” ad una “effettivamente conforme” alla normativa.

 

Accresciuti obblighi di trasparenza (artt. 5 e 12)

Il Legislatore europeo dedica una sezione del Nuovo Regolamento alla “Trasparenza” (Sezione 1 del Capo III) e, con riferimento alle modalità di trattamento dei dati, richiede che le informazioni all’interessato:

  • Siano rese con un linguaggio semplice e chiaro, soprattutto nel caso di minori;
  • Siano trasmesse sempre forma scritta, l’informativa in forma orale essendo ammessa solo quando ciò è richiesto dall’interessato e l’identità di questi possa essere provata con diversi mezzi;
  • Prevedano anche
    • Il periodo di conservazione dei dati personali,
    • Il diritto di proporre reclamo ad un’autorità di controllo,
    • L’intenzione del titolare di trasferire dati personali a un paese terzo.

 

Privacy by design e by default (art. 25)

  • La privacy by design richiede che Il Titolare adotti e attui misure tecniche e organizzative sin dal momento della progettazione oltre che nell’esecuzione del trattamento, che tutelino i principi di protezione dei dati.
  • La privacy by default presuppone invece, nella modalità operativa del trattamento, misure e tecniche che, per impostazione predefinita, garantiscano l’utilizzo dei soli dati personali necessari per ciascuna specifica finalità di trattamento.

 

Data Breach (artt. 33 e 34)

Attualmente prevede solo i “fornitori di servizi di comunicazione elettronica accessibili al pubblico” hanno l’obbligo di comunicare l’avvenuta violazione di dati personali:

  • Al Garante per la protezione dei dati personali (“Garante”);
  • In determinati casi, anche al contraente/cliente.

Il Nuovo Regolamento estende tale obbligo di comunicazione a tutti i Titolari e Responsabili, quali che siano i trattamenti posti in essere.

Nello specifico, il Responsabile deve informare il Titolare senza ingiustificato ritardo della violazione e quest’ultimo deve notificare la violazione, a sua volta senza ingiustificato ritardo, all’autorità di controllo (i.e., al Garante) e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la suesposta violazione presenti un rischio per i diritti e le libertà delle persone.

È previsto inoltre un obbligo di comunicazione anche all’interessato, se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

La finalità della norma in questione, è evidentemente quella di consentire all’autorità di controllo di attivarsi senza ritardo in modo da valutare quale sia la gravità della violazione e quali misure imporre al Titolare. Da notare, che mentre per la notifica all’autorità di controllo si richiede “un rischio per i diritti e le libertà degli individui”, per la notifica all’interessato è necessario che il rischio sia “elevato”: dunque, in quest’ultimo caso, è richiesta una soglia di pericolo maggiore anche per evitare inutili allarmismi degli interessati a fronte di violazioni di dati meramente potenziali.

 

Valutazione d’impatto sulla protezione dei dati (art. 35)

Quando un determinato trattamento – tenuto conto dell’uso di nuove tecnologie e della sua natura, del contesto e delle finalità – può presentare un rischio elevato per i diritti e libertà delle persone fisiche, il Titolare deve effettuare una valutazione d’impatto dello stesso sulla protezione dei dati (“Valutazione d’Impatto”). L’autorità di controllo (ad esempio, il Garante) redige e rende pubblico un elenco delle tipologie di trattamenti che sono soggetti a Valutazione d’Impatto e di quelli che invece non vi sono soggetti, comunicandoli al Comitato europeo per la protezione dei dati. La Valutazione d’Impatto deve contenere: (i) una descrizione dei trattamenti previsti e delle finalità del trattamento; (ii) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; (iii) una valutazione per i rischi per i diritti e le libertà degli interessati e le misure previste per affrontare i rischi.

La Valutazione d’Impatto è richiesta in particolare nei seguenti casi:

  • valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, sulla quale si fondano decisioni che hanno effetti giuridici o incidono su dette persone fisiche;
  • trattamento su larga scala di dati sensibili e giudiziari;
  • sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

È previsto che il Titolare riveda costantemente la Valutazione d’Impatto.

 

Registri delle attività di trattamento (art. 30)

Il Responsabile e il Titolare devono tenere un registro delle attività di trattamento in forma scritta, anche in formato elettronico, contenente gli elementi di cui all’art. 30 del Nuovo Regolamento. L’obbligo di tenuta dei suesposti registri non s’applica tuttavia in linea di principio alle imprese o organizzazioni con meno di 250 dipendenti (con limitate eccezioni).

 

NUOVE FIGURE SOGGETTIVE

 

Il Nuovo Regolamento individua, come destinatari delle sue disposizioni, ulteriori figure rispetto al Codice Privacy.

3.1 Responsabile della protezione dati (“RDP”) o (DPO) – (art. 37)

Il Titolare o il Responsabile devono designare un RDP qualora:

  1. Il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico;
  2. Le attività principali del Titolare o del Responsabile consistano in trattamenti che, per loro natura, campo di applicazione e/o finalità richiedano il controllo regolare e sistematico degli interessati su larga scala;
  3. Il Titolare o il Responsabile trattino dati sensibili o giudiziari.

Rimane dubbio il significato di “larga scala” ovvero se sia riferito al numero di dati trattati, alla estensione geografica interessata al trattamento o alle due le

L’RDP deve essere designato in base alla sua professionalità e, in particolare, alla sua conoscenza della legislazione di protezione dei dati ed è tenuto, inter alia a:

  • informare e consigliare il Titolare o il Responsabile in merito agli obblighi derivanti dal Nuovo Regolamento e da altre disposizioni dell’UE;
  • sorvegliare che il Nuovo Regolamento sia osservato;
  • fornire, se richiesto, un parere in merito alla Valutazione d’Impatto;
  • cooperare con l’autorità di controllo.

 

3.2 Comitato europeo per la protezione dei dati (art. 68)

E’ un organismo dell’UE ed è dotato di personalità giuridica. E’ composto dal responsabile di un’autorità di controllo di ciascuno Stato membro e dal Garante europeo della protezione dei dati, o dai rispettivi rappresentanti. Il Comitato, a titolo esemplificativo e non esaustivo, è tenuto a consigliare la Commissione europea in merito a qualsiasi questione relativa alla protezione dei dati personali dell’UE, comprese eventuali proposte di modifica del Nuovo Regolamento europeo, e pubblicare (i) linee guida, (ii) raccomandazioni e (ii) best practices al fine di promuovere l’applicazione coerente del Nuovo Regolamento.

 

DIRITTI DELL’INTERESSATO

 

Diritto all’oblio (art. 17)

Fino alla data della promulgazione del presente regolamento questo diritto veniva riconosciuto solo dalla attività giurisprudenziale, che lo definiva come il diritto dell’individuo ad essere “dimenticato” dalle banche dati, dai mezzi di informazione, o dai motori di ricerca. Il Nuovo Regolamento attua il riconoscimento su base legislativa del diritto all’oblio. In particolare, l’interessato ha diritto di chiedere che siano cancellati e non più sottoposti a trattamento i suoi dati personali

  • Che non siano più necessari per le finalità per le quali sono stati raccolti;
  • Quando abbia ritirato il consenso o si sia opposto al trattamento o il trattamento dei dati personali non sia altrimenti conforme al Nuovo Regolamento.

La norma de qua, menziona tuttavia anche alcuni casi in cui il diritto all’oblio non sussiste; ad esempio, i casi in cui il trattamento sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione o per l’adempimento di un obbligo legale.

 

Portabilità dei dati (art. 20)

 

L’interessato ha il diritto di:

  • Ricevere in un formato semplice e intelligibile i dati che lo riguardano forniti al Titolare;
  • Trasmettere i propri dati (ad esempio, quelli relativi al proprio “profilo utente”) da un Titolare (ad esempio un social network) ad un altro Titolare, senza impedimenti da parte di colui al quale sono stati forniti in precedenza, purché abbia le stesse finalità di trattamento.

 

ARMONIZZAZIONE

 

One-stop-shop

Nel caso in cui un medesimo trattamento di dati sia operato dallo stesso Titolare in più di un paese dell’UE, coinvolgendo cittadini europei di Stati diversi è stato affrontato dal legislatore attraverso il Nuovo Regolamento, con il fine di perseguire un’uniformità non solo formale ma anche sostanziale. E’ stata individuata un’unica autorità di controllo (“Lead Authority”) con riferimento al luogo dello stabilimento principale e/o unico del Titolare o del Responsabile, nel caso in cui questi ultimi effettuino trattamenti transfrontalieri. In questo modo, è possibile evitare che violazioni delle medesime norme del Nuovo Regolamento possano essere oggetto di ricorsi decisi diversamente a seconda dell’autorità di controllo di ciascun Paese. In ogni caso, il Nuovo Regolamento, al fine di non escludere le altre autorità di controllo eventualmente coinvolte, prevede una serie di norme volte a garantire cooperazione e assistenza reciproca, tenendo conto che la decisione della Lead Authority sarà vincolante anche per i trattamenti effettuati dal Titolare in altri Stati e utilizzando dati di cittadini di altri paesi dell’UE.

 

Legislatore nazionale

Il Nuovo Regolamento (considerando 10 e 19) consente agli Stati membri di mantenere o introdurre disposizioni più specifiche per adattare le disposizioni del Nuovo Regolamento, soprattutto con riferimento al trattamento di dati sensibili. Nello specifico, a titolo esemplificativo e non esaustivo, gli Stati membri possono prevedere delle deroghe rispetto a quanto stabilito dal Regolamento europeo con riferimento ai trattamenti per scopi giornalistici, all’accesso del pubblico ai documenti ufficiali, al trattamento dei dati nell’ambito del rapporto di lavoro.

 

SANZIONI

 

Il trattamento sanzionatorio viene uniformato e inasprito in tutti gli Stati membri UE.

Sanzioni amministrative (art. 83)

Il Nuovo Regolamento prevede che l’autorità di controllo possa imporre sanzioni amministrative per un importo massimo prestabilito, tenendo conto, nella determinazione dell’ammontare dello stesso, di determinati riferimenti quali:

  • La natura, la gravità e la durata della violazione,
  • Il carattere doloso o colposo della stessa,
  • Le misure adottate dal Titolare). Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa.

Altre sanzioni (art. 84)

Il Nuovo Regolamento delega agli Stati membri la facoltà di stabilire ulteriori sanzioni assicurandone la proporzionalità e l’efficacia dissuasiva. Con riferimento all’Italia, non è da escludere il mantenimento dell’attuale quadro sanzionatorio per illeciti penali delineato dal Codice Privacy 196/2003, con le necessarie modifiche in funzione de nuovo quadro di obblighi e requisiti previsti dal Nuovo Regolamento.