Di Paolo Giardini e Mauro Alovisio (agg. 04/05/2016)
Il Parlamento europeo ha approvato in via definitiva il nuovo regolamento europeo in materia di protezione dei dati personali (in corso di pubblicazione sulla Gazzetta Ufficiale Europea) che è stato pubblicato il 04/05/2016 sulla Gazzetta Ufficiale Europea. Il regolamento sarà vigente dopo 20 giorni dalla pubblicazione, ovvero dal 25 maggio 2016. Da questa data scatteranno i due anni di tempo (25 maggio 2108) per l’adeguamento a quanto previsto.
Il testo prevede regole comuni per i paesi membri per sviluppare i servizi ed il mercato digitale europeo ed in particolare:
-un rafforzamento dei diritti privacy dei cittadini;
-alcune semplificazioni negli adempimenti privacy per le imprese;
-un nuovo approccio e un innalzamento delle misure di sicurezza a protezione dei dati;
-un inasprimento delle sanzioni privacy al fine di colpire le aziende che effettuano violazioni di dati.
La privacy/protezione dei dati costituirà un asset strategico, pietra angolare per la stessa esistenza, sviluppo e competitività delle imprese sia nella progettazione e consolidamento dei servizi, nella contrattalistica, negli audit, nell’introduzione di nuovi device tecnologici, nelle campagne marketing e di comunicazione, nella security e safety aziendale.
Quali sono le principali novità introdotte dal regolamento e quale è l’impatto per le imprese?
Privacy by design. Ogni nuovo trattamento, sistema informatico, servizio, prodotto dovrà essere progettato tenendo conto della privacy e della sicurezza come elementi fondamentali (art.25).
Accountability. Viene richiesta la capacità di dimostrare che i trattamenti sono effettuati secondo i “principi applicabili al trattamento di dati personali” definiti all’art. 5 e la messa in atto di efficaci misure di sicurezza, anche mediante la gestione di un registro delle attività di trattamento.
Data Protection Impact Assessment (Valutazione d’impatto sulla protezione dei dati art 35 del Codice della privacy ). In funzione del trattamento effettuato, dovrà essere valutato il rischio derivante dal trattamento stesso. Il Garante Privacy dovrà pubblicare una lista dei trattamenti per i quali è necessario effettuare la valutazione.
Misure di sicurezza. Il titolare del trattamento dovrà mettere in atto misure tecniche e organizzative adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Fra le tecniche richieste sono previste “la pseudonimizzazione e la cifratura dei dati personali”. Gli scopi da raggiungere sono assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali. Si dovranno inoltre prevedere le metodologie per ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico.
Audit. Il titolare dovrà prevedere e una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Portabilità del dato. L’interessato ha il diritto di accedere ai propri dati in formato tale che ne sia possibile il riutilizzo da parte di terzi.
Diritto all’oblio. L’interessato (il soggetto a cui si riferiscono i dati) ha il diritto, in determinati casi specifici, alla cancellazione delle informazioni su di lui e alla deindicizzazione dai motori di ricerca.
Semplificazioni. Per le multinazionali viene previsto: lo sportello unico (One-stop-Shop) che consente alle imprese con diversi stabilimenti in Europa di stabilire lo “stabilimento principale” e di dialogare con una sola Autorità garante nazionale.
Data Protection Officer (Responsabile Della Protezione Dei Dati art. 37).
Le pubbliche amministrazioni e le imprese il cui trattamento di dati personali comporta il monitoraggio regolare e sistematico degli interessati su larga scala o che trattino particolari categorie di dati personali (indicate nell’art. 9) designano il responsabile della protezione dei dati in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 39, fra i quali consigliare il titolare del trattamento nonché i dipendenti che trattano dati personali in merito ad obblighi e misure di sicurezza; collaborare alle valutazioni di impatto; verificare l’applicazione del regolamento; fungere da punto di contatto per le autorità di controllo; rispondere agli interesati su questioni relative al trattamento dei loro dati personali ed all’esercizio dei loro diritti .
Notifica delle violazioni di dati e incidenti informatici (data breach). In caso di violazione dei dati personali, tale violazione dovrà essere notificata al Garante ed agli interessati se vi sono rischi per i diritti e le libertà delle persone fisiche.
Sanzioni. Viene previsto un inasprimento delle sanzioni amministrativo a carico di imprese e pubbliche amministrazioni nel caso di violazioni dei principi e disposizioni del regolamento: in casi particolari possono arrivare fino a 10 -20 milioni di euro o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Lo Studio Giardini fornisce alle pubbliche amministrazioni, imprese, professionisti una serie di servizi interdisciplinari in materia di privacy alla luce dell’impatto del nuovo regolamento europeo orientamenti, pareri di fattibilità, analisi di compliance, informazione, formazione, audit e test di verifica, supporto nella contrattualistica e nelle verifiche e ispezioni del Garante.