Nuovo Regolamento Privacy. Principali novità per le imprese dal 2016

regolamento privacy 2016

A breve, entrerà in vigore il testo definitivo del Regolamento Privacy, un complesso di regole che andrà a sostituire definitivamente la direttiva 95/46/CE e le leggi nazionali relative alla tutela dei dati personali di ogni Stato europeo.

Trattandosi di Regolamento comunitario, infatti, esso ha portata generale e costituisce fonte primaria nei singoli ordinamenti nazionali, pertanto sarà direttamente applicabile in tutti gli Stati membri. Avremo, dunque, in tutto il continente una legge unitaria sulla tutela e sul trattamento dei dati personali, che, ci si augura, abbia un impatto positivo nello sviluppo del mercato unico digitale.

Il 15 dicembre 2015 si è concluso, infatti, l’iter che ha portato al testo definitivo del Regolamento Europeo sulla tutela dei dati personali. Da quando esso diventerà esecutivo, chiunque tratti dati personali, avrà due anni di tempo per adeguarsi.

Di seguito, le principali novità previste dal Regolamento che interesseranno le imprese.

UN' UNICA LEGGE IN TUTTA EUROPA DAL 2016

Un’unica fonte normativa in materia di privacy in tutta l’Unione Europea

Come accennato, il Regolamento costituisce un insieme di regole unico, applicabile uniformemente in tutta Europa e questo renderà più snelle, favorendole, le operazioni relative alla gestione e alla protezione dei dati personali, in particolare, agevolando le imprese: da quelle che già operano in ambito comunitario o che, operando in un mercato nazionale europeo, intendono affacciarsi a quello comunitario, sfruttando ad esempio il canale web e il commercio elettronico, a quelle imprese extraeuropee che operano o intendono operare nel mercato europeo, le quali si troveranno finalmente ad avere a che fare con regole uniformi, almeno in materia di trattamento dei dati personali.

PREDISPOSIZIONE DELLO SPORTELLO UNICO

“One-stop-to-shop”

I cittadini europei hanno la possibilità di rivolgersi ad una sola Autorità Garante, quella dello Stato in cui è localizzata la sede principale dell’impresa interessata alla violazione, anche l’impresa stessa potrà trattare con quella sola Autorità e, nel caso di controversia e decisione negativa, quest’ultima avrà valore in tutto il territorio dell’Unione.

AUDIT - ANALISI DEI RISCHI

Valutazione impatto privacy

Il regolamento europeo si avvicina molto, in questo senso, al modello di prevenzione dei rischi, previsto dal d. lgs. n° 231/2001 in materia di responsabilità penale d’impresa. Viene, infatti, affidata all’impresa la responsabilità di analizzare preventivamente e valutare l’impatto che le operazioni dell’impresa stessa hanno sulla privacy e di adottare, conseguentemente, tutte quelle misure e precauzioni necessarie per evitare il danno (perdita di dati, violazioni, accessi abusivi, alterazioni, ecc) nei trattamenti dei dati che interessano l’impresa. Diventa fondamentale, dunque, la fase di audit (analisi del rischio) che fornirà tutti quelli elementi utili per implementare idonee misure tecniche e organizzative che, nei casi di danno, offriranno la possibilità all’impresa di provare di aver fatto tutto il possibile per evitarlo. Misure di sicurezza, legali, tecniche e organizzative, che potremmo definire quasi personalizzate (possono risultare diverse da impresa ad impresa), in quanto adattate alle specifiche operazioni che le imprese effettuano sui dati personali e commisurate ai diversi livelli di rischio che la fase di audit farà emergere. Il Regolamento elimina la notificazione preventiva al Garante (considerata un onere amministrativo e finanziario che non ha portato a buoni esiti), sostituendola con la suddetta valutazione d’impatto sulla protezione dei dati (analisi dei rischi), i cui risultati andranno custoditi dal Titolare del trattamento. Essa dovrà essere effettuata prima del trattamento e in base ai risultati verranno adottate le misure specifiche per prevenire i rischi di danno connessi al tipo di trattamento svolto e alle tipologie di dati trattati e che potrà essere utilizzata come prova per difendersi nei casi di controversie. In questo senso, assumono ancora maggiore importanza le nozioni di privacy by design e privacy by default (art. 23 del Regolamento “data protection by design and by default”). Ogni progetto sia esso relativo ad un sistema, un programma per elaboratore, un oggetto, un telefono, un edificio, un ambiente o altro, sin dalla sua progettazione, deve porre al centro l’individuo ed essere ideato secondo un approccio privacy oriented, ovvero: se ciò che si sta progettando avrà in qualche modo a che fare con dati personali, allora la tutela degli stessi va incorporata già nelle fasi di sviluppo del progetto.

SANZIONI

Nei casi di inadempienze, il titolare del trattamento ha l’obbligo di notificare al Garante la violazione senza ritardo, comunicando l’evento anche all’interessato (obligation to notify personal data breaches – artt. 31 e 32 del Regolamento). Gli interessati alle violazioni, potranno rivolgersi all’Autorità Garante o all’Autorità Giudiziaria. Mentre le imprese, titolari del trattamento, che non si adeguino alla normativa o che non provino di aver fatto il possibile per evitare il danno, potranno subire multe fino al 4% del fatturato annuo globale.

DATA PROTECTION OFFICER

Il responsabile della protezione dei dati personali.

Si tratta di una nuova figura di cui dovranno dotarsi obbligatoriamente le pubbliche amministrazioni e le imprese di grandi dimensioni o imprese le cui attività di base richiedono un monitoraggio regolare e sistematico degli interessati su larga scala o imprese che trattano categorie particolari di dati personali come quelli sensibili. Inoltre, il Responsabile della protezione dei dati personali non deve essere obbligatoriamente un dipendente a tempo pieno, ma potrebbe essere un consulente esterno scelto ad-hoc.

 

Nell’economia del futuro i dati personali diventeranno sempre più importanti: il valore dei dati personali dei cittadini europei, secondo alcune stime, giungerà sino a quasi 1.000 miliardi € all’anno entro il 2020. Rafforzando elevati standard europei di protezione dei dati, i legislatori stanno creando notevoli opportunità di business. Naturalmente, le imprese che si adegueranno nei giusti tempi, iniziando sin d’ora ad effettuare le analisi dei rischi e la valutazione d’impatto sulla privacy, avranno di certo, maggiori opportunità di crescita e più tempo per adeguarsi. Il che permetterà loro di definire in dettaglio tutto ciò di cui hanno bisogno per evitare incresciose situazioni dell’ultimo minuto che possono comportare omissioni, dimenticanze e …conseguenti pesanti sanzioni.

In particolare, adeguarsi per tempo, offre un’opportunità in più a quelle imprese che si trovano in fase di avvio dell’attività o che intendono rivedere, migliorare o ampliare il proprio assetto organizzativo.

Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy

RICHIEDI CONSULENZA

Autore Annalisa Spedicato

Avvocato Esperto in IP ICT e Privacy