Da oggi in vigore il Nuovo Regolamento Privacy UE

Oggi entra in vigore il nuovo Regolamento UE 2016/679 sulla privacy, frutto di una proposta avanzata nel 2012 dalla Commissione, approvata definitivamente dal Parlamento Europeo lo scorso 27 aprile 2016.

La proposta della Commissione è nata dall’esigenza di adattare il quadro normativo europeo sul diritto alla privacy, i cui principi cardine risalgono alla Direttiva 95/46/CE, al nuovo “scenario digitale”, così come rapidamente sviluppatosi negli ultimi anni (social network, mobile, internet of things, big data etc.). La Direttiva infatti, risalente al ‘95, nonché la frammentarietà delle diverse legislazioni nazionali attuative della stessa, non sono più risultate adatte a garantire un sufficiente grado di certezza per operatori e interessati al trattamento, oltrechè a consentire lo sviluppo concreto del “Mercato Unico Digitale”, caratterizzato dalla massiccia circolazione di dati e informazioni. Per questo motivo si è pensato di introdurre un Regolamento, in grado di sostituirsi a tutta la precedente normativa (direttiva e legislazioni nazionali) e direttamente applicabile in tutti gli Stati Membri.

I principi cardine della Direttiva 95/46/CE (libera circolazione dati, informativa adeguata, consenso) rimangono invariati, ma si interviene per eliminare l’incertezza di operatori e interessati al trattamento, riducendo gli adempimenti burocratici per le imprese da un lato, e aumentando la tutela per i cittadini UE dall’altro.

Il Regolamento si applicherà dal 25 maggio 2016, a decorrere dal quale ci saranno 2 anni di tempo per adeguarsi. Il Regolamento inoltre si applicherà anche a operatori residenti in Paesi Terzi, che trattino dati di cittadini residenti UE, quando offrano loro beni e servizi in UE o monitorino il loro comportamento (e.g. localizzazione, profilazione): in tal caso l’operatore del Paese terzo avrà l’obbligo di nominare un Rappresentante sul territorio (con deroga per chi presta servizi occasionalmente).

In Italia il Regolamento sostituirà a tutti gli effetti il nostro Codice Privacy (D.lgs. 196/2003). Di seguito le più importanti novità:

1. Eliminazione delle notificazioni al Garante: previste nei casi di profilazione, localizzazione, dati sensibili etc.
2. Valutazione Impatto Privacy: da redigere nelle “situazioni di rischio”, ad es. quelle per cui sono oggi previste la notificazioni o quelle che, come specifica Regolamento, implichino l’utilizzo di nuove tecnologie.
3. Registri delle attività di trattamento: le imprese dovranno predisporre registri con tutte le informazioni dettagliate sui dati raccolti (sono esentate le imprese con meno di 250 dipendenti).
4. Responsabile della protezione dei dati: esperto qualificato da nominare in caso di monitoraggio o trattamento dati su larga scala, per assicurare il rispetto della normativa privacy e relazionarsi con il Garante.
5. Segnalazioni: l’impresa dovrà informare tempestivamente il Garante in caso di violazioni di dati personali.
6. Maggiori interazioni Titolare/Responsabile (colui che effettua il trattamento per conto del Titolare).
7. One stop shop: l’impresa con più sedi UE avrà come solo referente il c.d. “Garante capofila”, autorità del luogo dove ha sede lo stabilimento principale e che, se del caso, coopererà con le altre autorità interessate.
8. Diritto all’oblio: diritto ad ottenere la cancellazione dei dati e relativi link ormai risalenti nel tempo, entro certo limiti ora specificati dal Regolamento (libertà di informazione, interesse pubblico etc.).
9. Diritto alla portabilità dei dati: diritto ad ottenere copia dei dati trattati su formato elettronico e a “trasportarli” presso un altro fornitore (si pensi alla registrazione su siti, app etc.)
10. Privacy by design and by default: obbligo di adottare misure tecniche adeguate affinchè siano trattati, per impostazione predefinita, solo i dati necessari per ogni specifica finalità del trattamento.
11. Codici di condotta, linee guida, meccanismi di certificazione: incoraggiati dalla Commissione per stabilire parametri di adeguatezza sulla protezione della privacy.
12. Trasferimento verso i paesi terzi: fuori dai casi di consenso espresso o necessarietà per l’esecuzione di un contratto, il trasferimento è consentito verso i paesi o le organizzazione internazionali della “lista dei buoni”, approvati dalla Commissione, o se i trasferimenti sono sottoposti a garanzie adeguate (Binding Corporate Rules per trasferimenti infra gruppo, clausole standard etc.).