Come noto, lo scorso maggio è stato pubblicato nella
Gazzetta Ufficiale della Comunità Europea il nuovo pacchetto Europeo sulla
protezione dei dati personali varato dall’Unione, concludendosi in tal modo un iter legislativo che durava da oltre 4
anni.
I primi passi erano stati mossi nel 2012 con la
presentazione da parte della Commissione Europea di un pacchetto contenente due
proposte: un regolamento generale sulla tutela delle persone fisiche con
riguardo al trattamento dei dati personali e la libera circolazione di tali
dati ed una direttiva finalizzata al contrasto, prevenzione e
repressione dei crimini, nonché all’esecuzione delle sanzioni penali.
Il nuovo Regolamento UE 2016/679, fissa e ribadisce
alcuni principi cardine in tema di trattamento dei dati personali, ovvero:
- liceità, correttezza e trasparenza del trattamento
- limitazione della finalità della raccolta;
- minimizzazione ed esattezza dei dati raccolti;
- limitazione della conservazione nel tempo;
- integrità e riservatezza;
- responsabilizzazione del titolare del trattamento.
Nel concreto tali principi si applicano mediante:
- maggiori limitazioni al trattamento automatizzato dei dati;
- diritto di opposizione dell’interessato, compresa la profilazione;
- informazioni più chiare e complete sul trattamento dei dati;
- diritto di accesso, di rettifica e di cancellazione (c.d. diritto all’oblio);
- diritto alla portabilità dei dati da un titolare del trattamento ad un altro o Paesi Terzi e organizzazioni internazionali;
- notifica in caso di violazione dei dati personali all’Autorità di controllo;
- semplificazione delle modalità di accesso ai propri dati.
E’ previsto un unico
ombrello normativo per tutte le
Imprese, sia dell’Unione che a quelle extra U.E. che offrono beni e
servizi ai cittadini europei.
Le aziende sono tenute ad adottare misure di sicurezza
adeguate al rischio di trattamento dei dati (approccio basato sul rischio), con
l’obbligo di designare un responsabile della protezione dei dati.
Tale nuova figura (Data
Protection Officer) può essere un dipendente (avente anche altri compiti e
funzioni purché non configgenti con tale ruolo) ovvero un soggetto esterno, e
deve essere coinvolto in tutte le questioni riguardanti il trattamento dei dati
personali.
La sua designazione è prevista ogni qualvolta: a) il
trattamento è effettuato da un'autorità pubblica o da un organismo pubblico,
eccettuate le autorità giurisdizionali quando esercitano le loro funzioni
giurisdizionali; b) le attività principali del titolare del trattamento o del
responsabile del trattamento consistono in trattamenti che, per loro natura,
ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e
sistematico degli interessati su larga scala; oppure c) le attività principali
del titolare del trattamento o del responsabile del trattamento consistono nel
trattamento, su larga scala, di categorie particolari di dati personali di cui
all'articolo 9 o di dati relativi a condanne penali e a reati di cui
all'articolo 10.
Il Regolamento incoraggia poi l’elaborazione di codici
di condotta e l'istituzione di meccanismi di certificazione per la protezione
dei dati.
A rendere davvero effettivo il sistema di garanzia e
controllo è prevista una maggiore cooperazione
internazionale tra Autorità Nazionali incaricate della protezione
dei dati, l’istituzione di un’Autorità Unica di Controllo Nazionale oltre all’attività
di supervisione ed intervento del Comitato Europeo per la protezione dei dati.
A tutela dei propri dati, gli interessati potranno proporre
reclamo all’Autorità di Controllo nonché ricorso all’Autorità Giudiziaria.
Per le imprese che non si adeguano al Regolamento sono
previste sanzioni pecuniarie più
elevate: fino a 10.000.000 di Euro, o per le imprese fino al 2 % del
fatturato mondiale totale annuo dell'esercizio precedente.
Il Regolamento
sarà applicabile dal 25 Maggio 2018 (da tale data sarà abrogata la precedente
direttiva 95/46/C); gli Stati membri hanno quindi due anni di tempo per
recepire le disposizioni della direttiva nel diritto nazionale con apposite
norme.
*Post redatto con la collaborazione
della dott.ssa Vania Fogagnolo