Nuove regole sulla protezione dei dati personali in tutta Europa

In data odierna la Commissione Europea ha adottato definitivamente le nuove regole sulla protezione dei dati personali in tutta Europa.

Dopo quattro anni di lavori in cui tutti gli stakeholders hanno preso parte, le nuove regole sono volte a garantire la protezione dei dati personali per tutti rendendo chiaro il potere di disporre sui propri dati personali e di difenderli qualora vi siano ipotesi di mancato rispetto della norma. Due sono i binari sui quali si posano le nuove regole:
1) il Regolamento generale sulla protezione dei dati personali (GDPR o General Data Protection Regulation) contribuisce ad arricchire il mercato unico digitale in Europa “promuovendo la fiducia nei servizi on-line da parte dei consumatori e la certezza del diritto per le imprese sulla base di regole chiare ed uniformi”;
2)la Direttiva sulla protezione dei dati per la polizia e le autorità di giustizia penale che garantisce un elevato livello di protezione dei dati, migliorando la cooperazione nella lotta contro il terrorismo e altri reati gravi in ​​tutta l’Europa.
Il Regolamento sarà direttamente applicabile negli Stati membri si applicherà probabilmente nella prima metà del 2018.
Trascorsi 20 giorni dalla prossima pubblicazione in GUCE infatti, entrerà in vigore due anni dopo tale data.
Per il Regno Unito (e l’Irlanda) che ha statuto speciale la norma di applicherà in modo limitato, mentre la Danimarca si è riservata sei mesi di tempo per decidere se recepirla o meno.

Si riepilogano in sintesi le novità maggiormente eclatanti.

Documentazione probatoria a cura del Titolare
Il titolare del trattamento dovrà possedere documentazione probatoria conforme alla normativa e soprattutto “sostenibile”. Oltre dunque ad archiviare opportunamente alcuni documenti, dovrà effettuare una valutazione d’impatto sulla protezione dei dati per  i trattamenti maggiormente a rischio ed avere elenchi aggiornati dei dati personali che vengono trattati.
Inoltre dovrà impostare in modo predefinito la “privacy by design” già a livello di progettazione tenendo bene a mente ad esempio il principio di necessità del trattamento.
Tali novità dovranno essere attentamente pre-analizzate anche per chi, progettando soluzioni informatiche che effettuino di fatto profilazioni e raccolte di dati, inizino a disegnare le proprie soluzioni al cliente.

Consenso informato
La persona cui vengono trattati i dati personali deve essere opportunamente pre-informata in modo chiaro ed il relativo consenso deve essere rilasciato liberamente ed in modo consapevole ed inequivocabile. Per i dati sensibili deve essere oltremodo esplicito.
Il responsabile del trattamento dovrà in ogni momento poter dimostrare come è stato ottenuto il consenso e se ha seguito tali regole.
Poichè occorre in ogni caso dimostrare se il consenso sia stato o meno ottenuto in modo libero, ovvero proprio privo di limitazioni o di pregiudizi di sorta. Ciò,  ad esempio, potrebbe modificare il modello organizzativo di alcune tipologie di business.
Nel commercio elettronico ad esempio sarà più che mai importante dimostrare che tale passo sia compiuto con estrema chiarezza. Tale considerazione diventa ancora più importante se si pensa che ciascun Stato membro potrà di fatto incidere donando una propria interpretazione personale sul consenso e dunque influendone di fatto nella relativa regolamentazione.
La tutela del minore (con il consenso del genitore) varia infine da Stato a Stato per cui potrebbe essere abbassata ai 13 anni. Ciò dunque dovrà essere valutata dalle aziende per garantire comunque di poter provare che l’adolescente era comunque consapevole essendo stato chiaramente informato.

L’interessato inoltre avrà diritto alla portabilità del proprio dato personale e pertanto ciò sarà ancora più importante nell’epoca dell’IoT.

Responsabili del trattamento
Chi tratta dati personali deve adottare misure tecniche ed organizzative per effettuarlo in modo conforme alla norma, notificando eventuali violazioni senza indugio e nominando un Data Privacy Officer qualora necessario. La nuova norma infatti prevede l’inserimento di tale figura solo in alcuni determinati casi in cui sostanzialmente la rischiosità è maggiormente elevata (es. base di dati personali ad elevata numerosità).

La valutazione del rischio
Diventa basilare nel modello organizzativo che il titolare del trattamento dovrà mettere in atto prevedere la valutazione (analizzando anche il tasso di probabilità e gravità del rischio) di aree particolarmente rischiose nell’attività di trattamento di dati personali. In questo la tecnologia potrebbe essere davvero un utile strumento.

Diritto all’oblio
Ciascun interessato ha diritto a richiedere la cancellazione dei propri dati personali, ed in alcuni casi anche senza indebito ritardo da parte del titolare del trattamento . In tal caso occorre peraltro anche adottare adeguate misure che permettano i terzi di essere informati di tale richiesta di cancellazione.
In tal senso la normativa è in linea con il famoso caso Google vs Spagna. Un cittadino spagnolo aveva fatto causa a Google per assicurarsi il proprio diritto all’oblio in rete, laddove digitando il proprio nome sul motore di ricerca di google in particolare comparivano notizie obsolete e potenzialmente screditanti sul proprio passato. I giudici della Corte Ue gli hanno dato ragione motivando che “il gestore di un motore di ricerca su Internet è responsabile del trattamento effettuato dei dati personali che appaiono su pagine web pubblicate da terzi”.
Ad onore del vero pare che il cittadino in questione poi, di fatto, anche solo per il battage che si è creato dalla sentenza in internet, “dimenticato” non lo sia stato ma anzi, il Garante Privacy spagnolo ha concordato con la dichiarazione di Google che gli avrebbe risposto: “In questo caso, sembra che l’URL che si chiede di disindicizzare include informazioni su di lei rilevanti per il pubblico e non obsolete. Quindi, possiamo concludere che il riferimento a questo materiale nei risultati di ricerca è giustificata dall’interesse pubblico ad avere accesso ad esso”.
In ogni caso, qualora la diffusione dei dati personali tramite internet arrechi pregiudizio e i diritti fondamentali di questa persona alla protezione dei dati suddetti e al rispetto della vita privata, comprendenti il «diritto all’oblio», prevalgano sui legittimi interessi del gestore del motore di ricerca e sull’interesse generale alla libertà d’informazione, l’interessato dunque può opporsi al relativo trattamento.

Il rappresentante europeo
Anche per chi ha una società con sede legale in territorio extra comunitario, potrebbe sorgere con il nuovo regolamento la possibilità di nominare un rappresentante in Europa ai fini di rispettare la norma sulla privacy, in quanto sarà ad esempio rilevante la profilazione di un consumatore europeo avvenuta tramite il sito web di proprietà della società extra UE.
La situazione si fa ancora più interessante se si pensa ad esempio al superamento dei principi dei Safe harbour, nell’ottica del nuovo “scudo” di protezione dei dati personali tra America ed Europa (c.d. “privacy shields”), accordo politico che mira a garantire sostanzialmente che gli americani non detengano in modo indiscriminato i dati personali degli europei.
La Corte di Giustizia UE infatti ad ottobre 2015 ha decretato che i principi del Safe Harbour, dopo che lo studente austriaco Max Schrems, supportato dall’autorità Garante spagnola, aveva sollevato il caso di violazione alla riservatezza dei dati personali su Facebook, non sono adeguati a quelli europei.
In tal caso lo studente austriaco ha creato un vero e proprio momento “europeo” contro Facebook, protestando sostanzialmente contro la non chiara conservazione dei dati personali da parte della società americana rispetto a navigatori in questo campo non adeguatemente informati.

Trasferimenti di dati personali all’estero
Chi esporta dati personali fuori UE, dovrà verificare che gli interessati siano stati opportunamente informati dei rischi cui potrebbero incorrere. E’ nuovo il concetto di “interesse legittimo” che prevede deroghe sul trasferimento dei dati personali ma riguarda sostanzialmente trasferimenti non continuativi con numerosità di dati limitata e per interessi legittimi adeguatamente valutati. La nuova normativa peraltro non risolve gli attuali bachi lasciati dai principi “safe harbour” americani.
In tema di regole vincolanti per l’impresa (c.d. binding corporate rules) che ciascuno Stato membro può approvare in tema di trasferimento di dati personali all’estero effettuato dalle multinazionali o dai gruppi societari, le nuove norme ne riconoscono l’autorevolezza e la possibilità conseguente di utilizzo da parte dei titolari o dei responsabili del trattamento. Pertanto è probabile che possano risultare maggiormente utilizzati per il trasferimento di dati personali infragruppo.
E’ prevista inoltre una sorta di scelta da parte di un gruppo di società o di una multinazionale dello Stato membro europeo cui fare riferimento a livello istituzionale alla figura del relativo Garante Privacy (c.d. one stop shop). Questa autorità dovrebbe così fungere da “lead” authority.

Notifiche e sanzioni
Qualora vi siano violazioni (breaches) nel trattamento dei dati personali che provochino un’alta rischiosità, le stesse devono essere tempestivamente notificate al Garante. Se ciò non avviene deve essere pronta la relativa giustificazione. In ogni caso tutte le società europee dovranno adottare procedure interne per la gestione delle violazione dei dati personali.
La norma chiarisce il diritto di venire a conoscenza della violazione (hackering) dei propri dati personali.
Le sanzioni previste dalla normativa europea potrebbero essere salata (dal 2 al 4% del fatturato mondiale della società) ma in tal senso occorrerà attendere ulteriori precisazioni per averne maggiore chiarezza.

 Nell’attesa dei tempi tecnici di implementazione della norma le imprese dovrebbero pertanto già mettere in preventivo l’adeguamento a questa nuova importante novità.

Summary
Nuove regole sulla protezione dei dati personali in tutta Europa
Article Name
Nuove regole sulla protezione dei dati personali in tutta Europa
Description
La Commissione Europea ha adottato definitivamente le nuove regole sulla protezione dei dati personali in tutta Europa. Le nuove regole si basano sul Regolamento generale sulla protezione dei dati personali (GDPR o General Data Protection Regulation) che contribuisce ad arricchire il mercato unico digitale in Europa "promuovendo la fiducia nei servizi on-line da parte dei consumatori e la certezza del diritto per le imprese sulla base di regole chiare ed uniformi" e sulla Direttiva sulla protezione dei dati per la polizia e le autorità di giustizia penale che garantisce un elevato livello di protezione dei dati, migliorando la cooperazione nella lotta contro il terrorismo e altri reati gravi in ​​tutta l'Europa. Il Regolamento sarà direttamente applicabile negli Stati membri si applicherà probabilmente nella prima metà del 2018.
Author
Taxlawplanet
By | 2018-05-17T14:16:44+00:00 aprile 14th, 2016|Diritto e fisco|Commenti disabilitati su Nuove regole sulla protezione dei dati personali in tutta Europa

About the Author:

Paola Zambon è Dottore commercialista in Italia, chartered accountant in Inghilterra e Galles, expert comptable in Lussemburgo.