Dopo diciannove anni dall'entrata in vigore, l'otto maggio 1997, della prima legge italiana in materia di privacy, lo scorso maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, il quale entrerà in vigore il prossimo 25 maggio.
La necessità di emanare un Regolamento Europeo in materia di privacy nasce dalla continua evoluzione degli stessi concetti di privacy e protezione dei dati personali e quindi della relativa tutela dovuta principalmente alla diffusione del progresso tecnologico.
L'iter legislativo ordinario è stato avviato ufficialmente il 25 gennaio 2012, in seguito alla presentazione da parte della Commissione Europea, di un testo recante la Proposta di Regolamento sulla Protezione dei dati personali, soprannominato da molti “Regolamento Privacy”, il quale dovrebbe sostituire la Direttiva n. 95/46/CE, la cosiddetta “Direttiva Madre Privacy”, dalla quale è discesa gran parte
del nostro attuale d.lgs. n. 196/2003, il Codice in materia di protezione dei dati personali.
Tale Regolamento si inserisce all'interno di quello che, insieme alla Direttiva 2016/680, è stato definito il “Pacchetto europeo protezione dati” e sarà direttamente applicabile, in tutti gli Stati Membri UE, senza bisogno di recepimento (come accade, invece, con le Direttive), nell'arco di due anni. In questo lasso di tempo gli Stati Membri dovranno adeguare le proprie normative interne nonché, le aziende, per essere educate e sensibilizzate alle novità introdotte. Dall'attuale formulazione del Regolamento, si evince che i singoli Stati potrebbero sfumare e applicare diversamente quest'ultimo apportando norme nazionali ad hoc.
Il Regolamento, ad ogni modo, avrà un forte impatto anche sulle leggi privacy nazionali, non potranno sopravvivere al Regolamento tutte quelle norme contenute nelle leggi degli Stati Membri che si riveleranno incompatibili con quanto stabilito a livello comunitario.
Le novità introdotte con il nuovo Regolamento riguarderanno un ampio ventaglio di tutele e nuovi diritti per gli interessati, affiancati a nuovi obblighi a carico di Titolari (data controller), e Responsabili (data processor) del
trattamento di dati personali.
Ma cerchiamo ora di analizzare, nel dettaglio, alcune delle novità di maggior rilievo.
Fra le prime, merita sicuramente particolare attenzione una nuova figura professionale che andrà ad affiancarsi alla nomenclatura già nota nel nostro Codice Privacy, ovvero al “titolare”, al “responsabile” e all'”incaricato” del trattamento dei dati. Tale nuova figura è quella del cosiddetto Data Protection Officer («DPO»), il “responsabile della protezione dei dati”.
Tutte le imprese sopra i 250 dipendenti e tutti gli enti pubblici, in particolare quelli ove i trattamenti presentino specifici rischi, come ad esempio le aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli “interessati”, su larga scala, e quelle che trattano i c.d. “dati sensibili”, dovranno dotarsi di un DPO, interno o esterno, indipendente, competente e in relazione diretta con il vertice dell'organizzazione.
Sarà inoltre introdotto apertamente il diritto all'oblio secondo cui ogni individuo potrà, per motivi legittimi, richiedere la cancellazione dei propri dati in possesso di terzi. Tale diritto risulta essere particolarmente rilevante se
l'interessato ha dato il consenso quando era minore, e quindi, non avendo la piena consapevolezza dei rischi derivanti dal trattamento, vuole successivamente eliminare questo tipo di dati personali, in particolare da Internet. Il diritto all’oblio è un concetto tornato prepotentemente alla ribalta in ambito internazionale e principalmente europeo con l’avvento della Rete. Può essere definito come il diritto di un individuo ad essere dimenticato, o meglio, a non essere più ricordato per fatti che in passato furono oggetto di cronaca.
Tra i principi di maggiore rilevanza meritano poi un particolare approfondimento il principio di trasparenza, il principio di accountability e il principio della privacy by design.
Secondo il principio di trasparenza tutti gli interessati avranno diritto alla massima trasparenza e ad essere informati riguardo ogni trattamento dei loro dati personali. Si provvederà, inoltre, a proteggere espressamente i dati dei minori sulla scia degli USA.
Il principio di trasparenza impone, tra l'altro, che le informazioni destinate al pubblico o all'interessato, riguardanti soprattutto l'identità del responsabile del
trattamento e le finalità del trattamento, siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro.
Quanto al principio di accountability (che potremmo tradurre come “responsabilità verificabile”), comporterà l'onere di dimostrare l'adozione di tutte le misure e cautele privacy in capo a chi tratta i dati, coinvolgendo aspetti quali l'affidabilità e la competenza aziendale nella gestione dei dati personali.
L'accountability si compone di almeno tre elementi:
• la “trasparenza”, intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per i cittadini, anche in quanto utenti del servizio;
• la “responsività”, intesa come la capacità di rendere conto di scelte, comportamenti e azioni e di rispondere alle questioni poste dagli stakeholder;
• la “compilance”, intesa come capacità di far rispettare le norme.
Dovranno, inoltre, essere redatte e conservate opportune documentazioni attestanti il “modello organizzativo e di sicurezza privacy”. Si supererà, peraltro, l'istituto della notificazione generica preventiva all'autorità, con evidente
semplificazione per le attività d'impresa pluri-nazionali.
Infine, il principio della privacy by design – e quello, connesso, di privacy by default – richiede che la tutela dei diritti e delle libertà degli Interessati, con riguardo al trattamento dei dati personali, comporti l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del Regolamento.
Al fine di garantire e dimostrare la conformità con il Regolamento, il responsabile del trattamento dovrà adottare politiche interne e attuare misure adeguate, che soddisfino in particolare i principi della privacy by design e della privacy by default.
Il principio della privacy by design prevede che la protezione dei dati sia integrata nell'intero ciclo di vita della tecnologia, dalla primissima fase di progettazione alla sua ultima distribuzione, all'utilizzo e all'eliminazione finale.
Il principio della privacy by default prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle
finalità.
Oltre i principi sopra elencati, il Regolamento prevede ulteriori novità rilevanti tra cui: il diritto alla portabilità dei dati personali che consente agli interessati di ricevere i loro dati personali (forniti ad un titolare del trattamento), in modo strutturato, comunemente usato e leggibile da un elaboratore (quindi non in formato cartaceo), in tal modo l'interessato può trasmettere qui dati ad un altro titolare del trattamento. Il diritto alla portabilità dei dati è previsto al fine di garantire il trasferimento dei propri dati da un servizio online ad un altro, così da assicurare da un lato maggiore controllo sui propri dati da parte degli individui, e dall'altro una maggiore concorrenza tra aziende e quindi promuovere l'innovazione e lo sviluppo di nuovi servizi. Il titolare del trattamento deve informare gli interessati dell'esistenza di tale diritto, spiegando allo stesso tempo quali dati sono soggetti alla portabilità.
Altra novità riguarda l'introduzione della figura del “joint
Controller” (Titolare congiunto), in tal modo due autonomi
Titolari potranno e dovranno, per un medesimo trattamento di dati personali, concordare in un contratto i confini delle rispettive responsabilità privacy, avendo questo accordo
importanza anche sotto il profilo del controllo da parte dell'autorità amministrativa o giudiziaria.
Infine, per quanto concerne il "sistema sanzionatorio", il Regolamento ha aumentato l'ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.