In data 15 dicembre 2015 le tre principali istituzioni dell’Unione Europea, operando nell’ambito della procedura di codecisione prevista dall’art. 294 del TFUE, nota come “consultazione a tre” o “trilogo informale”, hanno finalmente trovato l’accordo per il nuovo Regolamento europeo sulla privacy che introdurrà un’unica legislazione in tutte e 28 nazioni dell’UE, dopo quasi quattro anni da quando è stata presentata la proposta dalla Commissione UE.
Gli step necessari per l’entrata in vigore
L’accordo raggiunto segna un importante passo in avanti per il provvedimento, la cui adozione formale avverrà nei primi mesi del 2016 ed entrerà in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, da cui decorrerà un periodo transitorio di due anni ai fini dell’applicazione. Inoltre, il Regolamento andrà ad abrogare integralmente la direttiva 95/46 CE in materia di protezione dei dati personali, lasciando però in vigore le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate su tale direttiva, finché le stesse non verranno modificate, sostituite o abrogate. Ciò vale anche per gli accordi internazionali relativi al trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali, i quali siano stati conclusi dagli Stati membri prima dell’entrata in vigore del Regolamento.
Con riferimento ai trattamenti ancora in corso, l’interessato non dovrà prestare nuovamente il proprio consenso affinché il responsabile possa proseguire il trattamento, a condizione che quest’ultimo sia conforme alla direttiva 95/46/CE.
Le novità e l’ambito di applicazione
Con il nuovo Regolamento UE sulla privacy vengono confermate importanti novità che erano già contenute nella proposta originaria del 2012, come il diritto all’oblio, il diritto alla portabilità dei dati, le notificazioni delle violazioni dei dati personali alle autorità nazionali e anche agli stessi utenti nei casi più gravi (data breaches), il meccanismo del “one-stop-shop”, con il quale le imprese avranno a che fare con un’unica autorità di vigilanza, nonché quello della certificazione, mediante il quale dimostrare la conformità al Regolamento delle operazioni di trattamento.
Per quanto concerne le piccole medie imprese (ovvero quelle con meno di 250 dipendenti), non sussisterà l’obbligo di procedere alla nomina del “data protection officer”, a meno che le attività principali del responsabile o dell’incaricato non consistano in trattamenti che richiedono il controllo regolare e sistematico dei dati degli interessati. Gli Stati membri potranno, comunque, prevedere l’obbligatorietà del “data protection officer” anche al di là dei casi di obbligatorietà previsti dal Regolamento.
Inoltre, le piccole medie imprese non avranno neppure l’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati (“privacy impact assessment”), tranne nel caso in cui il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche. In tal caso il responsabile dovrà preventivamente consultare l’Autorità di controllo.
È stato altresì introdotto il concetto di “privacy by design” e “privacy by default”: il primo fa riferimento all’obbligo di tutelare i diritti dell’interessato nell’attività di trattamento fin dalla fase della progettazione e per l’intera gestione del ciclo di vita dei dati, ponendo in essere misure di carattere tecnico ed organizzativo quali la minimizzazione e la pseudonimizzazione. Esso riprende il principio di necessità nel trattamento dei dati contenuto all’interno del Codice Privacy, in base al quale è necessario ridurre al minimo l’utilizzazione di dati personali e di dati identificativi dell’interessato. Il secondo attiene al fatto che le impostazioni predefinite devono essere quella che garantiscono il maggior rispetto della privacy, affinché i dati personali non siano resi accessibili ad un numero indefinito di persone senza l’intervento umano.
Le figure coinvolte
Il Regolamento ha poi apportato delle modifiche per quanto attiene ai soggetti che effettuano il trattamento dei dati: il “data controller”, definito responsabile del trattamento, sarà l’attuale titolare, dotato di un potere decisionale in ordine alle tecniche da adottare e alle misure organizzative, al fine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati. Il “data processor”, definito incaricato al trattamento, sarà l’attuale responsabile e potrà procedere al trattamento dei dati solo su istruzione del responsabile. Compaiono, poi, anche altri soggetti, i quali agiscono solo sotto l’autorità del “data controller”, se non diversamente disposto da normative dell’Unione o di uno Stato membro.
L’accordo prevede per la prima volta la possibilità di rilasciare al responsabile o all’incaricato una certificazione, da parte di un organismo accreditato, la quale dimostri la conformità al Regolamento delle operazioni di trattamento dei dati, senza tuttavia ridurre in tal caso la responsabilità del responsabile o dell’incaricato.
Infine, in materia di misure di sicurezza, occorre rilevare come il Regolamento non contenga il concetto di misure minime, contrariamente a quanto previsto all’interno del Codice Privacy. Sono infatti elencati esempi di misure idonee per garantire un appropriato livello di sicurezza, come l’uso di pseudonimi o la criptazione dei dati.
Cosa cambierà
Il Provvedimento, con le sue nuove ed uniformi regole, consentirà l’armonizzazione della normativa sulla privacy all’interno dell’Unione Europea. Dal momento in cui verrà approvato il nuovo Regolamento, scatterà un periodo di vacatio di due anni, anche per consentire alle imprese ed alla pubblica amministrazione di adeguarsi alle nuove regole.
Una serie di principi guida rivolti alle imprese operanti nell’ Unione sono intesi allo sviluppo di un mercato unico europeo: le imprese beneficeranno di un “più armonico quadro normativo” e di uno sportello unico di riferimento sia per le imprese europee, che per quelle che operano all’interno dell’Unione pur risiedendo fuori dal continente.
Ad ogni modo, le disposizioni dell’accordo potranno essere specificate o limitate dal diritto degli Stati membri, al fine di garantire una maggiore coerenza con la legislazione nazionale. Ciò vale, ad esempio, nei casi di violazione del Regolamento, potendo essere fissate sanzioni ulteriori con riferimento alle infrazioni non soggette a sanzioni amministrative. Un rinvio alla legislazione nazionale degli Stati membri è fatto anche rispetto al trattamento dei dati nell’ambito dei rapporti di lavoro, potendo essere fissate norme più specifiche per finalità di assunzione, esecuzione del contratto di lavoro, gestione, pianificazione del lavoro. Ancora, ulteriori specificazioni possono essere realizzate con riferimento al trattamento di “speciali categorie di dati personali”, ovvero i dati genetici, biometrici o relativi alla salute.
* Gabriele Faggioli – Legale – Partners4Innovation – Presidente Clusit, Associazione Italiana per la Sicurezza Informatica
** Chiara Giorgini – Avvocato – Partners4Innovation
