Il nuovo Regolamento UE in materia di privacy

Publication Ottobre 2016

Il nuovo Regolamento (UE) 2016/679 in materia di privacy (il “Regolamento”) è stato approvato nell’ambito del “Pacchetto europeo protezione dati”, che comprende anche la Direttiva (UE) 2016/680 in materia di trattamento dei dati personali nei settori di prevenzione, contrasto e repressione dei crimini: quest’ultima, pubblicata in GUUE insieme al Regolamento e vigente dal 5 maggio 2016, dovrà essere recepita negli Stati Membri entro 2 anni.

Scopo del Regolamento

Garantire l’uniformità della disciplina in ambito UE e rispondere alle sfide poste dallo sviluppo tecnologico e dai nuovi modelli di crescita economica, responsabilizzando imprese ed enti in merito all’esigenza di tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati.

Ambito di applicazione

Il Regolamento si applica a tutte le aziende, fatta qualche eccezione per le pmi con meno di 250 dipendenti, che, avendo uno stabilimento UE, trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell’UE. Si applica inoltre al trattamento di dati personali di soggetti presenti nell’Unione Europea da parte di un soggetto stabilito al di fuori della stessa quando le attività di trattamento riguardano: l’offerta di beni o la prestazione di servizi nell’Unione (anche se gratuiti); il monitoraggio del comportamento di tali soggetti nella misura in cui questo avviene all’interno dell’Unione.

Entrata in vigore e applicabilità

Pubblicato in GUUE il 4 maggio 2016, entrato ufficialmente in vigore il 24 maggio 2016, sarà applicabile definitivamente dal 25 maggio 2018.

Principali novità

  • Criteri più rigorosi per la validità del consenso al trattamento dei dati personali. Il consenso è valido se reso attraverso un atto positivo inequivocabile, e può essere sempre revocato, senza limiti di sorta, dagli interessati.
  • Diritto all’oblio, ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento, e alla portabilità degli stessi da un titolare ad un altro su richiesta degli interessati.
  • Principi di protezione dei dati personali “by design” - i titolari devono adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento - e “by default” - i dati raccolti devono essere usati secondo le finalità per cui gli interessati hanno prestato il loro consenso e per il tempo necessario alla realizzazione delle stesse.
  • Obbligo di valutazione di impatto iniziale in capo ai titolari per i trattamenti di dati che prevedono l’utilizzo delle nuove tecnologie e che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche, e di tenuta di un registro delle attività relative al trattamento stesso.
  • Principio di accountability (obbligo di rendicontazione) a carico dei titolari del trattamento dei dati, i quali dovranno dimostrare l’adozione di politiche privacy e di misure adeguate in conformità al Regolamento.
  • Introduzione della figura del Data Protection Officer (DPO, ossia “Responsabile della protezione dei dati”) per enti che trattino dati sensibili o monitorino su larga scala e in maniera sistematica gli interessati. Il DPO deve ricoprire un ruolo stabile all’interno della struttura organizzativa, operando quale dipendente o sulla base di un contratto di servizio, ed essere un esperto di normativa e prassi in materia di privacy. Ha il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal Regolamento stesso, di vigilare sul loro effettivo adempimento, di fornire, se richiesto, pareri sulle valutazioni d’impatto sulla protezione dei dati raccolti e di interfacciarsi, da un lato, con gli interessati, e, dall’altro lato, direttamente con il Garante. È ammessa la nomina di un DPO unico in caso di società facenti parte di uno stesso gruppo, a livello nazionale o transfrontaliero.
  • Sportello unico (one stop shop) per imprese presenti in più Stati membri, che potranno rivolgersi ad un solo interlocutore, cioè all’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale.
  • Sistema di Certificazione da parte di organismi certificatori accreditati ovvero da parte dell’autorità di controllo competente, anche al fine di dimostrare la conformità alla normativa prevista dal Regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
  • Promozione dell’adesione ai Codici di condotta al fine di contribuire alla corretta applicazione del Regolamento.
  • Inasprimento delle sanzioni fino a un max di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo.


Practice area:

Recent publications

Publication

Czech Republic v Diag Human SE: English Court hands down guidance on challenges to awards under Sections 67 and 68 of the Arbitration Act 1996

n a long-running dispute, taking in no less than three arbitrations spanning 26 years cumulatively (involving allegations of state interference in the arbitral process), the Court has provided useful guidance on the ss.67 and 68 challenges, particularly in the context of investor-state claims.

Global | April 23, 2024

International arbitration
LISW

Publication

London International Disputes Week

London International Disputes Week (LIDW) brings together stakeholders across London’s dispute resolution community to debate and explore the key issues and topics, and to help drive awareness and best practice globally.

Global | Monday, June 3 - Friday, June 7, 2024

Renewables
insurance

Publication

What M&A trends will transform the 2024 insurance landscape?

It is widely accepted that 2023 was one of the worst years in recent memory for M&A activity.

Global | April 18, 2024

Insurance
Site search

Subscribe and stay up to date with the latest legal news, information and events . . .

Register now