Data Protection, il Regolamento Europeo al traguardo

di Avv. V. Frediani - Il Regolamento e la Direttiva che uniformeranno e riformeranno la protezione dei dati personali in Europa assumono una forma. Che impatto ci si aspetta sul quadro normativo italiano? Cosa cambierà per cittadini e aziende?

Data Protection, il Regolamento Europeo al traguardoRoma - Con il voto della commissione Libertà civili, giustizia e affari interni del Parlamento Europeo giunge a conclusione l'iter di introduzione, dopo quasi quattro anni di gestazione, del nuovo Regolamento Europeo sulla protezione dei dati, che punta ad essere una svolta storica sulla armonizzazione delle diverse legislazioni nazionali in materia di dati personali, attraverso la proposizione di un testo unico di riferimento, direttamente applicato in tutti gli stati dell'Unione Europea. In particolare, in Italia, dovremo definitivamente abbandonare l'attuale Codice Privacy, risalente all'ormai lontano 2003.



Due sono i punti su cui sostanzialmente la riforma si incentra: il Regolamento per la protezione dei dati ed una Direttiva connessa al trattamento dei dati in materia di giustizia. Quest'ultimo documento risulta necessario affinché si realizzi una cooperazione maggiormente efficace tra i diversi Paesi membri, nel pieno rispetto dei dati trattati di vittime e testimoni, anche alla luce dei recenti fatti terroristici che hanno martoriato l'Europa.

Il cuore di questo Regolamento è da individuarsi nel maggiore potere di controllo assegnato al cittadino sui propri dati personali, con facilitazioni anche sul versante dell'accesso agli stessi in considerazione della sempre maggiore responsabilità e coscienza collettiva che nel corso del tempo si è costantemente sviluppata. Con la pronuncia del trilogo e la successiva approvazione dei testi oggetto di dialogo tra le varie istituzioni, molti degli elementi di novità, inseriti già nella versione del 2012, risultano confermati. Di particolare interesse sono le disposizioni sulle notificazioni delle violazioni agli utenti interessati ed alle autorità nazionali nei casi di data breach, sul diritto all'oblio, sul diritto alla portabilità dei dati (anche rispetto all'incremento delle sempre più diffuse wearable technology) ed in generale sulle modalità di accesso ai dati da parte degli interessati, decisamente più semplificate.
Risulta dunque duplice lo scopo del convogliare all'interno di un unico testo l'intera disciplina sulla protezione dei dati personali. Da un lato, infatti, si assiste ad una uniformazione dei diritti dei cittadini residenti nel territorio dell'Unione, dall'altro è evidente l'intento di evitare che una normativa così di impatto sulle politiche e sui processi della aziende titolari del trattamento sia frammentaria nei vari Paesi del Vecchio Continente, garantendo, in virtù dello strumento normativo utilizzato, una legislazione uniforme utile ad assicurare un operato chiaro e paritetico sul mercato unico (eccezione saranno, però, ad esempio, i limiti si età per accedere ai servizi online, la cui fissazione sarà responsabilità dei singoli stati). Un simile discorso vale certamente sia per le grandi realtà operanti in campo internazionale, sino ad ora perennemente alla ricerca di un'uscita dal labirinto normativo intrecciato dalle diverse legislazioni dei Paesi membri, sia per le piccole e medie imprese, le quali già si sono viste vessate di numerosi obblighi normativi talvolta del tutto fuori portata. Non occorre rimarcare che ormai siamo in presenza di una vera e propria economia digitale, dove il dato è divenuto la prima valuta corrente, un vero e proprio asset da tutelare. Proprio per questo motivo è necessario procedere con una normativa a carattere maggiormente unitario, tale che possa garantire la crescita dell'innovazione ed incoraggiare le attività di business.

Un altro degli obiettivi del Regolamento è sicuramente di agevolare lo sviluppo di un mercato digitale unico a livello europeo. In quest'ottica, ed al fine di favorire le opportunità di business, sono stati previsti una serie di principi guida. Tra questi emergono:
- Una sola regolamentazione per un solo continente: proteggere i dati aziendali equivale a proteggere il business. Con l'avvento di una regolamentazione univoca si ha una netta facilitazione in tal senso;
- L'uso del meccanismo one-stop-shop è da considerarsi come primario. Attraverso di esso le aziende avranno la possibilità di riferirsi ad una Autorità univocamente delineata;
- L'applicazione della normativa europea in paesi dell'Unione Europea. Anche le aziende con sede all'esterno dell'UE che prestano propri servizi a cittadini europei, saranno tenute a rispettare il Regolamento. In altre parole, non si segue più la regola generale che rinveniva la scelta delle modalità di gestione di un servizio come decisione unicamente ascrivibile al fornitore del servizio.
- Normativa proporzionata al rischio: l'impatto del Regolamento sarà differente a seconda del livello di rischio in cui rientra la tipologia di dato trattato.

Alcune novità investono pienamente il mondo delle piccole medie imprese. Per queste realtà sono previsti ulteriori vantaggi di ordine economico e uno snellimento diffuso delle pratiche burocratiche. Stando al testo del nuovo regolamento, le PMI godranno di un novero di riduzioni quali:
- Assenza di obbligatorietà della notifica nei riguardi dell'Autorità di vigilanza. Una simile previsione permetterà di risparmiare annualmente circa 130 milioni di euro;
- Addebito nei confronti di coloro i quali richiedano l'accesso ai dati in circostanze che rendano tale atto eccessivo o privo di fondamento;
- Mancanza dell'obbligo di nomina del DPO (Data Protection Officer) per tutte le PMI, tranne che per quelle particolari categorie delle stesse che saranno indicate all'interno del testo nella sua versione definitiva. Chiaramente il criterio seguito sarà quello della relazione tra quantità/tipologia dei dati e congruenza con il core business;
- In caso non vi sia un rischio elevato sulla sicurezza dei dati, le PMI possono ritenersi esenti dall'obbligo di effettuare un privacy risk assessment (ovvero una valutazione dei rischi sul lato privacy);

Occorre inoltre ricordare l'introduzione nel testo del Regolamento di un concetto del tutto nuovo, quello di privacy by design. Si tratta sostanzialmente della garanzia di protezione dei dati, che dovrà essere assicurata da ogni Titolare del trattamento, sin dalle prime fasi di sviluppo dei prodotti e dei servizi. Certamente, un aspetto come questo impatterà notevolmente su tutte le aziende, ed in particolare per quelle del settore ICT, anche rispetto alle attività richieste ai fornitori e nei servizi in outsourcing.

Ulteriore cambiamento essenziale è quello che investe il sistema sanzionatorio: con l'applicazione del nuovo regolamento le sanzioni saranno ora da applicare sulla base del fatturato mondiale annuo (le percentuali sino ad ora ipotizzate sono del 4 e del 2 per cento. Occorrerà vedere quali saranno le previsioni del testo definitivo). La Commissione per le libertà civili si è espressa con un comunicato stampa in cui auspica l'approvazione del testo nella sua versione definitiva da parte del Parlamento Europeo riunito in seduta comune nella primavera del 2016 (l'indicazione data verte per ora nel periodo tra Marzo e Aprile), confermando che il tempo affinché i Paesi membri procedano alla sua implementazione sarà pari a 2 anni dalla data dell'entrata in vigore. Per ulteriori chiarimenti si attende quanto verrà trattato dalla conferenza stampa al riguardo, ufficialmente fissata per Lunedì 21 Dicembre alle ore 14.00.

Non è ancora chiaro quale sarà l'impatto organizzativo, economico ed informatico per le aziende europee. In particolare, fino a quando il nuovo testo non sarà effettivamente coercitivo resta ferma in Italia l'applicazione delle previsioni sancite all'interno del Codice Privacy (il quale comunque è di diretta derivazione dalla Direttiva Madre Europea 95/46). Altre normative rilevanti da considerare anche in previsione del nuovo Regolamento sono il D.Lgs. 231 per gli aspetti relativi alla prevenzione dei reati informatici, il testo dell'art. 4 dello Statuto dei Lavoratori così come riformato dal Jobs Act ed altre normative nazionali di settore, che rappresentano il "livello minimo" che le aziende sono tenute a rispettare per poter poi traslare in sicurezza verso il Regolamento in dirittura di approvazione.

Avv. Valentina Frediani
Founder Colin & Partners
Notizie collegate
  • AttualitàUE, verso la privacy unicaLe istituzioni europee si riuniscono per decidere sull'adozione di regole comuni per il rispetto della privacy, una questione su cui si dibatte da tempo e che continua a suscitare polemiche. Molte le lamentele di aziende, organizzazioni che si battono per i diritti digitali e teenager
  • Diritto & InternetUE, verso un'unica privacy?Il Consiglio dei Ministri della giustizia europeo annuncia un accordo di massima sulla riforma della protezione dei dati, iniziativa che ora passa alla fase due, ma è tutto fuorché definita. L'accordo, pare, è sul disaccordo
  • AttualitàEuropa, la privacy prima di tuttoPresentate ufficialmente le nuove norme che la Commissione Europea intende adottare per il trattamento dei dati personali dei netizen del Vecchio Continente. Previsti nuovi diritti e nuovi obblighi per le aziende
23 Commenti alla Notizia Data Protection, il Regolamento Europeo al traguardo
Ordina
  • Data Protection? Semplice: i nostri dati sono al sicuro solo in locale, meglio se su di un supporto che scolleghiamo subito dopo averli copiati o spostati.
    Il cloud è solo il computer di qualcun altro.
    Se si tratta di dati bancari, meglio sempre tre fattori per autenticarsi: codice cliente, pin e chiavetta auto-generante. E senza tenere aperti programmi, schede o addons, durante la transazione.
    non+autenticato
  • A me sembra che i tentativi di regolamentare la rete siano sempre più come voler obbligare il vento a soffiare in una certa direzione.
    non+autenticato
  • A te.

    Internet non è una forza della natura, è un'opera dell'uomo e può essere costretta a fare esattamente quello che si vuole.

    L'internet che ci aspetta sarà TV 2.0
    non+autenticato
  • Non c'è che dire: una valida alternativa ad un'analisi intelligente.

    Per chi invece volesse informarsi da fonti un po' più serie:
    https://edri.org/eu-data-protection-reform-lost-op.../

    Riassuntino: il regolamento UE approvato in pratica è una sequela di consigli alle imprese su come NON rispettare la privacy degli utenti, aggirare divieti espressi solo in via di principio, e al contempo evitare di essere denunciati.
    non+autenticato
  • - Scritto da: Mauro
    > Non c'è che dire: una valida alternativa ad
    > un'analisi intelligente.
    >
    >
    > Per chi invece volesse informarsi da fonti un po'
    > più
    > serie:
    > https://edri.org/eu-data-protection-reform-lost-op
    >
    > Riassuntino: il regolamento UE approvato in
    > pratica è una sequela di consigli alle imprese su
    > come NON rispettare la privacy degli utenti,
    > aggirare divieti espressi solo in via di
    > principio, e al contempo evitare di essere
    > denunciati.

    A conferma di quanto scrivi, ecco l'ESULTANZA di una società di lobbying britannica in merito alle "innovazioni" al regolamento UE sulla (non) protezione dei dati personali:
    http://www.dma.org.uk/article/first-eu-data-protec...

    Tu pensa che fogna che è la UE!
    non+autenticato
  • Art. 38, pagina 19, del pdf del regolamento linkato nell'articolo:

    "...The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest".

    In sintesi d'ora in avanti chiunque venga in possesso dei dati personali di un'individuo potrà spammarlo o tempestarlo di telefonate, SENZA dover chiedere il consenso separato per l'utilizzo dei dati a fini pubblicitari.

    Il regolamento UE quindi INDEBOLISCE l'attuale normativa Italiana, che invece prevede il consenso ESPLICITO e SEPARATO dell'utente, uno per il trattamento dei dati necessari allo svolgimento dei servizi richiesti, e un altro per il loro uso accessorio a fini pubblicitari (due consensi distinti, e il secondo non può essere obbligatorio). E siccome si tratta di un regolamento e non di una direttiva, sarà applicabile immediatamente, senza recepimento dal parte del Parlamento Italiano.

    Non ho letto invece la direttiva sul trattamento dei dati da parte delle forze di polizia, ma mi pare sia sbucata fuori così di colpo, giusto giusto ora che ci sono stati gli attentati in francia, senza che nessuno ne avesse parlato prima. Scommetto che è un'altro stupro della privacy.

    La UE si conferma un'associazione mafiosa al servizio di lobbisti, grandi imprese e banche.
    non+autenticato
  • - Scritto da: ...
    > Art. 38, pagina 19, del pdf del regolamento
    > linkato
    > nell'articolo:
    >
    > "...The processing of personal data for direct
    > marketing purposes may be regarded as carried out
    > for a legitimate
    > interest".
    >...
    > La UE si conferma un'associazione mafiosa al
    > servizio di lobbisti, grandi imprese e
    > banche.


    Verissimo. E' finita come sempre: si parte con un testo durissimo del parlamento (evviva, stavolta vince il popolo!), poi la commissione e il consiglio lo trasformano in un gruviera, e alla fine il parlamento lo approva (il gruviera). Ormai è un copione recitato a memoria. E adesso ci toccherà pure rimpiangere la la legge sulla privacy italiana.

    Beata la gran bretagna che grazie al referendum sta per uscire da quest'incubo.
    non+autenticato
  • - Scritto da: Viva la privacy
    > - Scritto da: ...
    > > Art. 38, pagina 19, del pdf del regolamento
    > > linkato
    > > nell'articolo:
    > >
    > > "...The processing of personal data for direct
    > > marketing purposes may be regarded as carried
    > out
    > > for a legitimate
    > > interest".
    > >...
    > > La UE si conferma un'associazione mafiosa al
    > > servizio di lobbisti, grandi imprese e
    > > banche.
    >
    >
    > Verissimo. E' finita come sempre: si parte con un
    > testo durissimo del parlamento (evviva, stavolta
    > vince il popolo!)


    No no, faceva schifo anche all'inizio. Non come la versione finale, ma quasi. E quelli che dicevano il contrario o erano scemi, oppure più semplicemente erano pagati per farlo.
    non+autenticato
  • >
    > Beata la gran bretagna che grazie al referendum
    > sta per uscire da
    > quest'incubo.

    Ma il Regno Unito non vuole uscire. Cameron lo ha dichiarato tantissime volte.
    Il referendum è solo un'arma di ricatto.
    non+autenticato
  • - Scritto da: cormtac
    > >
    > > Beata la gran bretagna che grazie al
    > referendum
    > > sta per uscire da
    > > quest'incubo.
    >
    > Ma il Regno Unito non vuole uscire. Cameron lo ha
    > dichiarato tantissime
    > volte.
    > Il referendum è solo un'arma di ricatto.


    Sì certo, come no, dev'essere per questo che 48 ore fa la Regina Elisabetta ha firmato la legge per il referendum:
    https://www.gov.uk/government/news/eu-referendum-b...

    Ciao ciao europaA bocca aperta
    non+autenticato
  • >
    > Ciao ciao europaA bocca aperta

    Magari.
    Ci liberiamo di un po' di legislatori al servizio delle multinazonali.
    Il problema è che dopo il Regno Unito dovrebbe uscire pure l'Italia. A quel punto l'europa starebbe molto meglio.
    non+autenticato
  • - Scritto da: ...
    > Art. 38, pagina 19, del pdf del regolamento
    > linkato
    > nell'articolo:
    >
    > "...The processing of personal data for direct
    > marketing purposes may be regarded as carried out
    > for a legitimate
    > interest".
    >
    > In sintesi d'ora in avanti chiunque venga in
    > possesso dei dati personali di un'individuo potrà
    > spammarlo o tempestarlo di telefonate, SENZA
    > dover chiedere il consenso separato per
    > l'utilizzo dei dati a fini
    > pubblicitari.
    >
    > Il regolamento UE quindi INDEBOLISCE l'attuale
    > normativa Italiana, che invece prevede il
    > consenso ESPLICITO e SEPARATO dell'utente, uno
    > per il trattamento dei dati necessari allo
    > svolgimento dei servizi richiesti, e un altro per
    > il loro uso accessorio a fini pubblicitari (due
    > consensi distinti, e il secondo non può essere
    > obbligatorio). E siccome si tratta di un
    > regolamento e non di una direttiva, sarà
    > applicabile immediatamente, senza recepimento dal
    > parte del Parlamento
    > Italiano.
    >
    > Non ho letto invece la direttiva sul trattamento
    > dei dati da parte delle forze di polizia, ma mi
    > pare sia sbucata fuori così di colpo, giusto
    > giusto ora che ci sono stati gli attentati in
    > francia, senza che nessuno ne avesse parlato
    > prima. Scommetto che è un'altro stupro della
    > privacy.
    >
    > La UE si conferma un'associazione mafiosa al
    > servizio di lobbisti, grandi imprese e
    > banche.


    Il problema del "legittimo interesse" è uno dei tanti buchi. Purtroppo tutto il regolamento, com'era prevedibile, si è rivelato una colossale marchetta:

    https://edri.org/eu-data-protection-reform-lost-op.../
    non+autenticato
  • - Scritto da: Mauro

    > Il problema del "legittimo interesse" è uno dei
    > tanti buchi. Purtroppo tutto il regolamento,
    > com'era prevedibile, si è rivelato una colossale
    > marchetta:
    >
    > https://edri.org/eu-data-protection-reform-lost-op


    Sì, io ovviamente ho sottolineato solo l'aspetto più grave.
    non+autenticato
  • >
    > In sintesi d'ora in avanti chiunque venga in
    > possesso dei dati personali di un'individuo...

    In sintesi qualche governo ha rifiutato la proposta di legge precedente e si è deciso di lasciare il problema alla legislazione locale. Ecco il significato del "may"
    non+autenticato
  • - Scritto da: pmlujn
    > >
    > > In sintesi d'ora in avanti chiunque venga in
    > > possesso dei dati personali di un'individuo...
    >
    > In sintesi qualche governo ha rifiutato la
    > proposta di legge precedente e si è deciso di
    > lasciare il problema alla legislazione locale.


    In sintesi non sai cosa sia un regolamento UE. Non è una direttiva, non deve essere recepito, nè tantomeno può essere modificato dalla legislazione locale, si applica così com'è. Il "may" al massimo lascia discrezionalità a giudici e autorità garanti quando dovranno dirimere le singole controversie tra utenti e gestori dei dati, discrezionalità che fino ad oggi non esisteva, almeno in Italia, perchè il consenso dell'utente era sempre necessario, e se non c'era, il giudice o il garante dovevano per forza dargli ragione. Ora non sarà più così.
    non+autenticato
  • > In sintesi non sai cosa sia un regolamento UE.
    Paragrafo 6a pagina 3:

    "Where this Regulation provides for specifications or restrictions of its rules by Member State law, Member States may, as far as necessary for the coherence and for making the national provisions comprehensible to the persons to whom they apply, incorporate elements of the Regulation in their respective national law."

    Paragrafo 8:

    "Member States should be allowed to maintain or introduce national provisions to further specify the application of the rules of this Regulation. "
    non+autenticato