martedì 21 febbraio 2017

Mercato Unico Digitale: nuove regole dall'Europa entro il 2018

Lo scorso gennaio la Commissione Europea ha pubblicato la proposta di un nuovo Regolamento (“Rispetto della vita privata e la protezione dei dati personali nell’ambito delle comunicazioni elettroniche”) finalizzato ad introdurre ulteriori misure per la tutela della riservatezza nelle comunicazioni elettroniche, destinate ad incidere -tra l’altro- su aspetti di grande attualità come la disciplina dei cookie e dello spam.

Prima di entrare nel merito del nuovo Regolamento appare opportuno chiarire l’impatto che lo stesso avrà nell’attuale sistema normativo comunitario.

In primo luogo, si osserva come il Regolamento abrogherà la direttiva 2002/58/2002 (la c.d. direttiva e-privacy), introdotta nel nostro ordinamento con l’inserimento nel Codice della Privacy (TU 196/2003) del Titolo X (artt. 121-134) dedicato alle comunicazioni elettroniche.
Lo scopo del Regolamento è quello di giungere all’effettiva creazione del mercato unico digitale, ovvero di un contesto in cui si arrivi:
a) ad una maggior diffusione degli scambi on line (quindi dell’e-commerce);
b) a maggiori garanzie tecnologiche (quindi aumento della sicurezza on line)
c) ad una diffuso sviluppo del mercato digitale (quindi delle competenza digitali)

In una simile ottica va essere inserito anche altro provvedimento recente e di cui si è parlato molto, ovvero il Regolamento Generale sulla protezione dei dati (Regolamento UE n. 2016/679), entrato in vigore il 24.05.2016, e che diverrà definitivamente applicabile in ogni Stato membro a far data dal 25.05.2018.
Proprio per favorire la piena integrazione con il Regolamento 2016/679 è previsto che anche le disposizioni del nuovo Regolamento saranno applicabili dal 25.05.2018

Dopo aver chiarito il contesto normativo in cui si inserirà il nuovo Regolamento, se ne segnalano i principali contenuti.

Ambito di applicazione: il Regolamento si applicherà al trattamento di dati relativo alla fornitura e all’utilizzo di comunicazioni elettroniche.
Riservatezza delle comunicazioni elettroniche: come già anticipati centrale sarà il tema della tutela della riservatezza dei dati nelle comunicazioni elettroniche; saranno vietate, salvo eccezioni, interferenze da parte di terzi; più nello specifico, dovrà essere garantita più riservatezza, sia per i contenuti che per i metadati (ora della chiamata e luogo). Poiché entrambi hanno una spiccata connotazione sensibile dovranno essere anonimizzati o addirittura eliminati in caso di mancato consenso degli utenti.
Consenso degli utenti finali: anche questo rappresenta senza dubbio un aspetto cruciale e quindi il Regolamento ribadisce la necessità del consenso del soggetto interessato per poter trattare i dati dello stesso; consenso sempre revocabile e che potrà essere espresso anche tramite specifiche impostazioni del software utilizzato.
Cookie e impostazioni privacy: viene razionalizzata la disciplina dei cookie; da un lato infatti questi potranno essere controllati con maggior effettività da parte degli utenti, e ciò con la messa a disposizione di software che impediscano la memorizzazione delle informazioni sul pc dell’utente finale; nel contempo, dovrebbe essere semplificata la normativa sui cookie nel suo complesso, atteso che il consenso non sarà più necessario per i cookie che migliorano l’esperienza degli utenti (quelli che permettono di non perdere la cronologia del carrello degli acquisti); inoltre, sempre in ottica di semplificazione, non sarà più necessario richiedere il consenso per i cookie contatori di visite.
Comunicazioni elettroniche indesiderate: in tema di spam, il Regolamento ribadisce il fondamentale principio per cui l’invio di comunicazioni per finalità commerciali deve essere preceduto dalla raccolta del consenso del destinatario; più nello specifico, saranno vietate le comunicazioni elettroniche indesiderate, qualunque sia il mezzo utilizzato, per es. mail, sms, o chat come whatsapp; inoltre, ai consumatori sarà riconosciuto un diritto di opporsi alla ricezione di telefonate a scopo commerciale, anche tramite l’inserimento in un elenco di nominativi da non contattare.
Tutela dei diritti: agli utenti è riconosciuto un diritto al risarcimento per ogni danno derivante dall’utilizzo di servizi di comunicazioni elettroniche, con la previsione di sanzioni pecuniarie (amministrative) fino ad € 20.000,00 e, per le imprese, fino al 4% del fatturato totale annuo dell’esercizio precedente (in analogia con quanto già previsto dal Reg. 2016/679).

In definitiva, anche la proposta di Regolamento che si è commentata conferma la volontà di creare regole comuni per un mercato digitale in cui l’utente giochi un ruolo sempre più consapevole nella fruizione delle risorse e dei servizi offerti.





mercoledì 24 agosto 2016

Privacy: il nuovo pacchetto per la protezione dei dati varato dall’UE


Come noto, lo scorso maggio è stato pubblicato nella Gazzetta Ufficiale della Comunità Europea il nuovo pacchetto Europeo sulla protezione dei dati personali varato dall’Unione, concludendosi in tal modo un iter legislativo che durava da oltre 4 anni.
I primi passi erano stati mossi nel 2012 con la presentazione da parte della Commissione Europea di un pacchetto contenente due proposte: un regolamento generale sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati ed una direttiva finalizzata al contrasto, prevenzione e repressione dei crimini, nonché all’esecuzione delle sanzioni penali.
Il nuovo Regolamento UE 2016/679, fissa e ribadisce alcuni principi cardine in tema di trattamento dei dati personali, ovvero:
  • liceità, correttezza e trasparenza del trattamento
  • limitazione della finalità della raccolta;
  • minimizzazione ed esattezza dei dati raccolti;
  • limitazione della conservazione nel tempo;
  • integrità e riservatezza;
  • responsabilizzazione del titolare del trattamento.
Nel concreto tali principi si applicano mediante:
  • maggiori limitazioni al trattamento automatizzato dei dati;
  • diritto di opposizione dell’interessato, compresa la profilazione;
  • informazioni più chiare e complete sul trattamento dei dati;
  • diritto di accesso, di rettifica e di cancellazione (c.d. diritto all’oblio);
  • diritto alla portabilità dei dati da un titolare del trattamento ad un altro o Paesi Terzi e organizzazioni internazionali;
  • notifica in caso di violazione dei dati personali all’Autorità di controllo;
  • semplificazione delle modalità di accesso ai propri dati.
E’ previsto un unico ombrello normativo per tutte le Imprese, sia dell’Unione che a quelle extra U.E. che offrono beni e servizi ai cittadini europei.
Le aziende sono tenute ad adottare misure di sicurezza adeguate al rischio di trattamento dei dati (approccio basato sul rischio), con l’obbligo di designare un responsabile della protezione dei dati.
Tale nuova figura (Data Protection Officer) può essere un dipendente (avente anche altri compiti e funzioni purché non configgenti con tale ruolo) ovvero un soggetto esterno, e deve essere coinvolto in tutte le questioni riguardanti il trattamento dei dati personali.
La sua designazione è prevista ogni qualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.
Il Regolamento incoraggia poi l’elaborazione di codici di condotta e l'istituzione di meccanismi di certificazione per la protezione dei dati.
A rendere davvero effettivo il sistema di garanzia e controllo è prevista una maggiore cooperazione internazionale tra Autorità Nazionali incaricate della protezione dei dati, l’istituzione di un’Autorità Unica di Controllo Nazionale oltre all’attività di supervisione ed intervento del Comitato Europeo per la protezione dei dati.
A tutela dei propri dati, gli interessati potranno proporre reclamo all’Autorità di Controllo nonché ricorso all’Autorità Giudiziaria.
Per le imprese che non si adeguano al Regolamento sono previste sanzioni pecuniarie più elevate: fino a 10.000.000 di Euro, o per le imprese fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente.

Il Regolamento sarà applicabile dal 25 Maggio 2018 (da tale data sarà abrogata la precedente direttiva 95/46/C); gli Stati membri hanno quindi due anni di tempo per recepire le disposizioni della direttiva nel diritto nazionale con apposite norme.

*Post redatto con la collaborazione della dott.ssa Vania Fogagnolo