Nuovo Regolamento Privacy Europeo

Nuovo Regolamento Privacy Europeo

In arrivo il nuovo Regolamento Privacy Europeo, due anni di tempo per adeguarsi

Dopo quasi 4 anni da quando era stata presentata la proposta dalla Commissione UE nel gennaio del 2012 è stato finalmente trovato l’accordo per il nuovo Regolamento Europeo sulla protezione dei dati, che introdurrà un’unica legislazione in tutte e 28 nazioni dell’UE. In Italia, prenderà il posto dell’attuale Codice Privacy (D.lgs. 196/2003).
Il nuovo regolamento verrà alla luce nei primi mesi del 2016. Da allora scatterà una vacatio di due anni, anche per consentire a imprese e p.a. di adeguarsi alle nuove regole.
Cosa cambierà rispetto all’attuale normativa privacy?
Vediamo in sintesi il contenuto del futuro regolamento, che manderà in soffitta il codice della privacy.

Unica legge –  Viene introdotto il principio dell’applicazione del diritto Ue anche ai trattamenti di dati personali non svolti nell’Ue, se relativi all’offerta di beni o servizi a cittadini Ue o tali da consentire il monitoraggio dei comportamenti di cittadini Ue.

Portabilità del dato –  La portabilità delle informazioni diventa un diritto dell’interessato, ad esempio nel caso di trasferimento dei propri dati da un social network ad un altro.

Diritto all’oblio – Viene riconosciuto un generale diritto all’oblio, e cioè il potere di decidere quali informazioni cancellare ed evitare che circolino in rete.
Si prevede, però, un bilanciamento del diritto «a essere dimenticati» con il diritto di cronaca (conoscenza di fatti socialmente rilevanti) e di ricerca storica.

Accesso ai dati – L’interessato sarà facilitato a conoscere quali dati sono trattati da una impresa o da una p.a. e per quale finalità, Il regolamento, però, disincentiva richieste di accesso ai dati manifestamente infondate o eccessive, prevedendo la possibilità di addebitare un contributo agli interessati.
Viene illustrato il modo in cui è possibile esercitare il diritto di accesso. Ampio spazio anche al diritto di rettifica e cancellazione, alla luce delle recenti sentenze della corte di giustizia europea, che ha ampliato in maniera significativa i diritti alla cancellazione dell’interessato.
Altro diritto sancito è quello all’obiezione e soprattutto alle modalità con cui, se consentita, è possibile sviluppare la profilazione. Sappiamo tutti che oggi i grandi motori di ricerca adottano tecniche di profilazione sempre più sofisticate, in modo da colpire il bersaglio di un eventuale messaggio pubblicitario. Nel nuovo regolamento pertanto vengono messe in evidenza alcune limitazioni.

 Stop alla notificazione – Viene eliminato l’obbligo per i titolari di notificare al garante nazionale i trattamenti di dati personali. Dalla abolizione dell’adempimento le autorità europee stimano con un risparmio per le pmi di 130 milioni di euro l’anno.

Data Protection Officer – Salvo che per le pmi, scatta l’obbligo di nominare un responsabile per la protezione dei dati, chiamato Data Protection Officer, per tutti gli enti pubblici e per tutti i titolari che trattano dati di più di 5000 interessati, nonché i titolari che sviluppino attività rischiose di trattamento.

Impatto privacy – Si introduce l’obbligo di valutare l’impatto privacy del trattamento effettuato (il c.d. privacy impact assessment), con il connesso obbligo di documentare le misure adottate per la tutela dei dati. Le piccole medie imprese non avranno l’obbligo di effettuare la valutazione dell’impatto, a meno che non esista un rischio elevato.

 Privacy by Design – Il regolamento introduce il principio generale della privacy by design, cioè previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software.

 Violazione dati – Si stabilisce l’obbligo per tutti i titolari di notificare all’autorità competente le violazioni dei dati personali (data breach). In Italia attualmente l’obbligo vale in specifici ambiti (telecomunicazioni, biometria, dossier e fascicolo sanitario). Con il regolamento in caso di attacco a un sistema informativo devono essere avvisati l’autorità di controllo e l’interessato. Le imprese avranno a che fare con un’unica autorità di vigilanza.

 Icone della Privacy   Una innovativa prescrizione riguarda l’utilizzo di una informativa iconica, che deve essere uguale in tutta l’unione europea e che tende a superare i problemi posti dalle troppe lingue europee, nelle quali la informativa viene offerta, girando per vari paesi. Eccone un’anticipazione…