Privacy, norme Ue al passo con l’era del digitale
Il Parlamento europeo di Strasburgo ha dato l’ok al nuovo regolamento comunitario sulla protezione dei dati personali per garantire maggiori diritti ai cittadini. Tra le novità, l’introduzione di un data protection officer. Multe fino a 20 milioni di euro per i trasgressori
29/07/2016
Dare ai cittadini un maggiore controllo sulle proprie informazioni personali, in un mondo sempre più complesso e digitalizzato. Questo il principale obiettivo che ha ispirato il nuovo Regolamento europeo sulla privacy, approvato dal Parlamento Ue di Strasburgo riunitosi in seduta plenaria lo scorso 14 aprile. Termina così un percorso durato più di quattro anni, in cui è stata operata una completa revisione della normativa europea sulla protezione dei dati, per sostituire una direttiva targata CE che risaliva al lontano 1995, quando internet era ancora agli albori. In Italia il nuovo corpo di norme prenderà il posto dell’attuale Codice della privacy (dlgs 196/2003).
Un iter tortuoso durato quattro anni
Il regolamento prevede nuove disposizioni su temi delicati, come il diritto all’oblio, il consenso chiaro e informato al trattamento dei dati personali, il diritto di trasferire i dati a un altro fornitore di servizi, e quello di essere informati quando i propri dati sono stati violati, ma anche l’obbligo per le imprese di utilizzare un linguaggio chiaro e comprensibile nelle informative sulla privacy. Per i trasgressori sono previste sanzioni che potranno arrivare fino a 20 milioni di euro, o al 4% del fatturato annuo delle imprese che non rispettano le norme. Il testo del regolamento entrerà in vigore 20 giorni dopo la pubblicazione sulla Gazzetta ufficiale dell’Unione Europea. Le nuove disposizioni saranno direttamente applicabili in tutti gli Stati membri due anni dopo tale data.
Come accennato, il nuovo corpo di regole è giunto all’approvazione dopo un iter legislativo molto tortuoso, che ha alternato improvvise accelerazioni a fasi di stallo. Uno degli obiettivi più ambiziosi del nuovo pacchetto sulla protezione dei dati è stato quello di creare le condizioni per quel Mercato unico digitale europeo, che negli auspici della Commissione di Bruxelles potrebbe creare fino a 3,8 milioni di nuovi posti di lavoro, con un giro d’affari per l’area Ue pari a 415 miliardi di euro all’anno.
Il plauso di Federprivacy
L’associazione di categoria Federprivacy ha parlato di “giornata storica per l’Ue” che con l’approvazione definitiva del nuovo regolamento, “aiuterà i cittadini a recuperare il controllo dei propri dati personali e a creare un livello di protezione elevato e uniforme in tutti gli Stati membri dell’Unione europea per un pieno sviluppo dell’economia digitale”. Nel sottolineare l’importanza del nuovo corpus di norme, Federprivacy evidenzia il passaggio da un sistema basato su direttive di armonizzazione e legislazioni nazionali di attuazione, a un regolamento di immediata applicazione in tutti gli Stati membri. Oltre a ciò “si danno regole certe” a fenomeni che all’epoca della precedente direttiva (95/46) “non erano nemmeno all’orizzonte”. E, soprattutto, insiste l’associazione, “si cerca di anticipare, per quanto possibile, una normativa adeguata anche all’imminente futuro”.
Secondo il presidente di Federprivacy, Nicola Bernardi, con l’approvazione del nuovo regolamento europeo, “l’Ue detta nuove e più stringenti regole che non devono essere recepite come un peso da parte delle imprese, perché in realtà è stato finalmente dato ordine per un mercato digitale finora dominato indiscriminatamente dai colossi del web americani, che ora dovranno invece rimboccarsi le maniche per allinearsi. Un’altra nota positiva, secondo De Bernardi, è quella che prevede la figura di un responsabile della protezione dei dati, che avrà il compito di vigilare che la propria azienda rispetti effettivamente le regole, fungendo da punto di contatto sia con gli interessati che con l’autorità garante. “Questo ruolo sarà cruciale anche perché, come avviene nel caso dei privacy officer nei Paesi anglosassoni: questa figura – sottolinea Bernardi – potrà fornire consulenza al management per utilizzare correttamente i dati personali per implementare le proprie attività di business senza però infrangere le regole”.
Arriva il data protection officer
Secondo quanto anticipato nelle scorse settimane dal garante della privacy, la figura del responsabile della protezione dei dati personali (data protection officer), dovrà essere “un professionista che possieda un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente, oppure anche sulla base di un contratto di servizi”.
Tra i suoi compiti ci sarà quello di “informare e consigliare il titolare o il responsabile del trattamento da lui preposto, nonché i dipendenti, in merito agli obblighi derivanti dal regolamento europeo e dalle altre disposizioni dell’Ue o delle normative locali degli Stati membri relative alla protezione dei dati. Dovrà poi verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit. Su richiesta, dovrà fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti”. Dovranno nominare obbligatoriamente un responsabile della protezione dei dati personali tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie.
L’obbligo riguarda anche tutti i soggetti (enti e imprese) che trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese, che non ricadono invece nell’obbligo di legge, potranno comunque decidere di dotarsi ugualmente di un data protection officer.
Un iter tortuoso durato quattro anni
Il regolamento prevede nuove disposizioni su temi delicati, come il diritto all’oblio, il consenso chiaro e informato al trattamento dei dati personali, il diritto di trasferire i dati a un altro fornitore di servizi, e quello di essere informati quando i propri dati sono stati violati, ma anche l’obbligo per le imprese di utilizzare un linguaggio chiaro e comprensibile nelle informative sulla privacy. Per i trasgressori sono previste sanzioni che potranno arrivare fino a 20 milioni di euro, o al 4% del fatturato annuo delle imprese che non rispettano le norme. Il testo del regolamento entrerà in vigore 20 giorni dopo la pubblicazione sulla Gazzetta ufficiale dell’Unione Europea. Le nuove disposizioni saranno direttamente applicabili in tutti gli Stati membri due anni dopo tale data.
Come accennato, il nuovo corpo di regole è giunto all’approvazione dopo un iter legislativo molto tortuoso, che ha alternato improvvise accelerazioni a fasi di stallo. Uno degli obiettivi più ambiziosi del nuovo pacchetto sulla protezione dei dati è stato quello di creare le condizioni per quel Mercato unico digitale europeo, che negli auspici della Commissione di Bruxelles potrebbe creare fino a 3,8 milioni di nuovi posti di lavoro, con un giro d’affari per l’area Ue pari a 415 miliardi di euro all’anno.
Il plauso di Federprivacy
L’associazione di categoria Federprivacy ha parlato di “giornata storica per l’Ue” che con l’approvazione definitiva del nuovo regolamento, “aiuterà i cittadini a recuperare il controllo dei propri dati personali e a creare un livello di protezione elevato e uniforme in tutti gli Stati membri dell’Unione europea per un pieno sviluppo dell’economia digitale”. Nel sottolineare l’importanza del nuovo corpus di norme, Federprivacy evidenzia il passaggio da un sistema basato su direttive di armonizzazione e legislazioni nazionali di attuazione, a un regolamento di immediata applicazione in tutti gli Stati membri. Oltre a ciò “si danno regole certe” a fenomeni che all’epoca della precedente direttiva (95/46) “non erano nemmeno all’orizzonte”. E, soprattutto, insiste l’associazione, “si cerca di anticipare, per quanto possibile, una normativa adeguata anche all’imminente futuro”.
Secondo il presidente di Federprivacy, Nicola Bernardi, con l’approvazione del nuovo regolamento europeo, “l’Ue detta nuove e più stringenti regole che non devono essere recepite come un peso da parte delle imprese, perché in realtà è stato finalmente dato ordine per un mercato digitale finora dominato indiscriminatamente dai colossi del web americani, che ora dovranno invece rimboccarsi le maniche per allinearsi. Un’altra nota positiva, secondo De Bernardi, è quella che prevede la figura di un responsabile della protezione dei dati, che avrà il compito di vigilare che la propria azienda rispetti effettivamente le regole, fungendo da punto di contatto sia con gli interessati che con l’autorità garante. “Questo ruolo sarà cruciale anche perché, come avviene nel caso dei privacy officer nei Paesi anglosassoni: questa figura – sottolinea Bernardi – potrà fornire consulenza al management per utilizzare correttamente i dati personali per implementare le proprie attività di business senza però infrangere le regole”.
Arriva il data protection officer
Secondo quanto anticipato nelle scorse settimane dal garante della privacy, la figura del responsabile della protezione dei dati personali (data protection officer), dovrà essere “un professionista che possieda un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente, oppure anche sulla base di un contratto di servizi”.
Tra i suoi compiti ci sarà quello di “informare e consigliare il titolare o il responsabile del trattamento da lui preposto, nonché i dipendenti, in merito agli obblighi derivanti dal regolamento europeo e dalle altre disposizioni dell’Ue o delle normative locali degli Stati membri relative alla protezione dei dati. Dovrà poi verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit. Su richiesta, dovrà fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti”. Dovranno nominare obbligatoriamente un responsabile della protezione dei dati personali tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie.
L’obbligo riguarda anche tutti i soggetti (enti e imprese) che trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese, che non ricadono invece nell’obbligo di legge, potranno comunque decidere di dotarsi ugualmente di un data protection officer.
© RIPRODUZIONE RISERVATA