Il nuovo Regolamento UE in materia di privacy

Il nuovo Regolamento (UE) 2016/679 in materia di privacy (il “Regolamento”) è stato approvato nell’ambito del “Pacchetto europeo protezione dati”, che comprende anche la Direttiva (UE) 2016/680 in materia di trattamento dei dati personali nei settori di prevenzione, contrasto e repressione dei crimini: quest’ultima, pubblicata in GUUE insieme al Regolamento e vigente dal 5 maggio 2016, dovrà essere recepita negli Stati Membri entro 2 anni.

Scopo del Regolamento

Garantire l’uniformità della disciplina in ambito UE e rispondere alle sfide poste dallo sviluppo tecnologico e dai nuovi modelli di crescita economica, responsabilizzando imprese ed enti in merito all’esigenza di tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati.

Ambito di applicazione

Il Regolamento si applica a tutte le aziende, fatta qualche eccezione per le pmi con meno di 250 dipendenti, che, avendo uno stabilimento UE, trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell’UE. Si applica inoltre al trattamento di dati personali di soggetti presenti nell’Unione Europea da parte di un soggetto stabilito al di fuori della stessa quando le attività di trattamento riguardano: l’offerta di beni o la prestazione di servizi nell’Unione (anche se gratuiti); il monitoraggio del comportamento di tali soggetti nella misura in cui questo avviene all’interno dell’Unione.

Entrata in vigore e applicabilità

Pubblicato in GUUE il 4 maggio 2016, entrato ufficialmente in vigore il 24 maggio 2016, sarà applicabile definitivamente dal 25 maggio 2018.

Principali novità

• Criteri più rigorosi per la validità del consenso al trattamento dei dati personali. Il consenso è valido se reso attraverso un atto positivo inequivocabile, e può essere sempre revocato, senza limiti di sorta, dagli interessati.
• Diritto all’oblio, ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento, e alla portabilità degli stessi da un titolare ad un altro su richiesta degli interessati.
• Principi di protezione dei dati personali “by design” - i titolari devono adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento - e “by default” - i dati raccolti devono essere usati secondo le finalità per cui gli interessati hanno prestato il loro consenso e per il tempo necessario alla realizzazione delle stesse.
• Obbligo di valutazione di impatto iniziale in capo ai titolari per i trattamenti di dati che prevedono l’utilizzo delle nuove tecnologie e che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche, e di tenuta di un registro delle attività relative al trattamento stesso.
• Principio di accountability (obbligo di rendicontazione) a carico dei titolari del trattamento dei dati, i quali dovranno dimostrare l’adozione di politiche privacy e di misure adeguate in conformità al Regolamento.
• Introduzione della figura del Data Protection Officer (DPO, ossia “Responsabile della protezione dei dati”) per enti che trattino dati sensibili o monitorino su larga scala e in maniera sistematica gli interessati. Il DPO deve ricoprire un ruolo stabile all’interno della struttura organizzativa, operando quale dipendente o sulla base di un contratto di servizio, ed essere un esperto di normativa e prassi in materia di privacy. Ha il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal Regolamento stesso, di vigilare sul loro effettivo adempimento, di fornire, se richiesto, pareri sulle valutazioni d’impatto sulla protezione dei dati raccolti e di interfacciarsi, da un lato, con gli interessati, e, dall’altro lato, direttamente con il Garante. È ammessa la nomina di un DPO unico in caso di società facenti parte di uno stesso gruppo, a livello nazionale o transfrontaliero.
• Sportello unico (one stop shop) per imprese presenti in più Stati membri, che potranno rivolgersi ad un solo interlocutore, cioè all’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale.
• Sistema di Certificazione da parte di organismi certificatori accreditati ovvero da parte dell’autorità di controllo competente, anche al fine di dimostrare la conformità alla normativa prevista dal Regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
• Promozione dell’adesione ai Codici di condotta al fine di contribuire alla corretta applicazione del Regolamento.
• Inasprimento delle sanzioni fino a un max di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo.