Privacy: il nuovo Regolamento Europeo

A distanza di oltre quattro anni da quando la Commissione Europea ha presentato ufficialmente le prime proposte relative al quadro giuridico europeo in materia di protezione dei dati personali (c.d. “Privacy”), è stato finalmente trovato un accordo, in data 15/12/2015, sul testo del nuovo “Regolamento Europeo”, il quale avrà l’obiettivo di introdurre una legislazione sostanzialmente uniforme nelle Nazioni appartenenti alla UE,
Il testo definitivo dovrebbe essere formalizzato già nei prossimi mesi dal Consiglio UE e dal Parlamento UE, per poi essere subito dopo pubblicato nella Gazzetta Ufficiale UE
Il Regolamento Europeo quindi, entrerà definitivamente in vigore indicativamente nella primavera del 2018.

 

Scopi e principali contenuti del Regolamento UE.

Alla luce dei numerosi quesiti pervenuti, si ritiene utile riepilogare di seguito gli scopi ed i principali contenuti del testo.
Il Regolamento Europeo avrà anzitutto l’obiettivo di garantire:
- una maggiore protezione dei dati, anche alla luce delle sempre nuove tecnologie digitali utilizzate per il loro trattamento e conservazione;
- una maggiore armonizzazione normativa a livello dell'intera UE, evitando palesi discrepanze nella gestione dei dati, le quali comportano attualmente un evidente danno e disorientamento per gli utenti. 
 
In estrema sintesi, si anticipano poi alcune tra le maggiori novità ed obblighi che verranno introdotte/i in capo alle aziende:
- è previsto l’obbligo di nominare all’interno dell’azienda un così detto "Data Protection Officer - DPO" (ossia un responsabile della protezione dati, secondo la terminologia della Direttiva 95/46), per tutte le aziende pubbliche e per le aziende private aventi un certo numero di dipendenti. Questa figura, che avrà l’onere di garantire il pieno rispetto della normativa, dovrà essere individuata dai vertici aziendali con estrema attenzione, scegliendo professionisti di comprovata competenza ed esperienza in materia “Privacy”, onde evitare le pesantissime sanzioni di cui si dirà al punto successivo. A parere di chi scrive, dovrà quindi essere necessariamente abbandonata la cattiva abitudine di affidare la protezione dei dati in azienda al classico “collaboratore improvvisato e tuttofare”, abitudine a tutt’oggi ancora radicata, ma che in futuro potrebbe portare a conseguenze davvero spiacevoli;
- è enormemente maggiorato l’importo delle sanzioni che, fatti salvi i minimi di legge, potranno arrivare fino al 4% del fatturato annuale dell’impresa;
- si stabilisce l'obbligo per l’azienda di notificare all'Autorità competente ed agli stessi utenti, le violazioni dei dati personali (così dette “data breaches”), avvenute al proprio interno (es. accessi abusivi, usi non consentiti), entro un termine temporale prestabilitoe decorrente dal momento della scoperta della violazione;
- è introdotto il requisito del "privacy impact assessment", ossia la necessità di effettuare una valutazione complessiva dell'impatto-privacy all’interno dell’azienda;
- è sancito il principio generale denominato "privacy by design", cioè la necessità di prevedere specifiche misure tecniche ed organizzative a protezione dei dati, già al momento della progettazione di un prodotto o servizio;
- si riconosce agli interessati il "diritto all’oblio", ossia la possibilità di decidere quali informazioni possano continuare a circolare (in particolare nel mondo on-line) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge);
- si riconosce inoltre agli interessati il diritto alla "portabilità del dato" (ad es. nel caso in cui si intendesse trasferire i propri dati da un soggetto giuridico ad un altro);
- viene introdotto il principio dell'applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell'UE, se relativi all'offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE.

 

Obblighi già vigenti, previsti dalla normativa italiana.

In attesa della definitiva entrata in vigore del Regolamento Europeo, è importante ricordare quali sono ad oggi i principali obblighi già vigenti e previsti dalla normativa italiana (D. Lgs. 196/03) per la corretta gestione dei dati personali all’interno dell’azienda.
 
E’ necessario, a titolo puramente esemplificativo e non esaustivo:
- redigere e rilasciare idonee Informative ai sensi dell’art. 13 del D. Lgs. 196/2003: informative ai dipendenti e collaboratori, informative ai clienti, fornitori, potenziali clienti, terzi in genere, informative per utenti del sito web aziendale, informativa per i candidati all’assunzione, ecc.;
- raccogliere i consensi dagli interessati, quando necessario;
- effettuare la formazione del personale;
- applicare le misure di sicurezza informatica agli apparati hardware e software;
- assolvere a quanto previsto dal Provvedimento sugli Amministratori di Sistema;
- nominare gli incaricati autorizzati al trattamento dei dati personali;
- redigere il disciplinare interno per il corretto utilizzo di internet e posta elettronica da parte dei dipendenti/collaboratori (Provvedimento del Garante del 1° Marzo 2007);
- gestire in base alle corrette procedure i documenti cartacei evidenzianti dati “sensibili” (es. buste paga e certificati medici);
- assolvere alle prescrizioni in materia di videosorveglianza (Provvedimento del Garante dell’8 Aprile 2010);
- gestire la “Privacy Policy” del sito web per l’uso dei cookies, per l’invio delle newsletter e per i servizi interattivi;
- gestire i trattamenti affidati in outsourcing all’esterno dell’azienda, ecc.
 
 

I nostri contatti

+39 0522-38.79.97 / +39 0522-38.28.11
+39 0522-38.79.96
Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo.
Via Piccard 16/G - 42124 Reggio Emilia