GDPR: il nuovo Regolamento Privacy UE in dettaglio

Nel mese di gennaio (2016), l’Unione Europea ha pubblicato una bozza del nuovo Regolamento europeo sulla protezione dei dati personali che sostituirà la legislazione comunitaria esistente in materia di tutela dei dati personali, ovvero la Direttiva 95/46/EC.

Il 4 maggio 2016, il Regolamento generale sulla protezione dei dati personali è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea.

Come per ogni regolamento europeo, il GDPR entrerà in vigore su tutto il territorio UE, Italia compresa, dopo 20 giorni dalla pubblicazione, ovvero il 25 maggio 2016; tuttavia, non sarà applicabile prima del 25 maggio 2018 in quanto il regolamento stesso prevede un periodo di 2 anni per adeguarsi alle nuove disposizioni.

Il nuovo regolamento rappresenta un traguardo per le normative sul trattamento dati, e servirà a rafforzare i diritti esistenti e a dare agli individui più poteri di controllo sui propri dati personali, creando al contempo opportunità di business ed incoraggiando l’innovazione e la sicurezza dei dati aziendali.

La riforma introduce due strumenti legislativi:

  • Il Regolamento generale sulla protezione dei dati personali, inerente all’elaborazione dei dati personali e alla libera circolazione di tali dati (che è ciò a cui noi cittadini, nonchè le  Imprese e le Pubbliche Amministrazioni, siamo maggiormente interessati);
  • La Direttiva sulla protezione dei dati inerenti alla polizia e alla giustizia penale, che si assicurerà che i dati relativi a vittime, testimoni e individui sospettati di un crimine vengano debitamente protetti nel corso di un’indagine o durante l’esecuzione di una sanzione penale. Allo stesso modo, delle leggi più armonizzate faciliteranno la cooperazione tra la polizia o i pubblici ministeri dei Paesi confinanti per combattere crimine e terrorismo efficacemente in tutta Europa.

1. Il Regolamento generale sulla protezione dei dati personali

Prima di tutto, è importante comprendere che il GDPR è un regolamento, e non una direttiva come la precedente Direttiva 95/46/EC. Questi due termini sono spesso usati come sinonimi, ma hanno in realtà un significato molto diverso: infatti, una direttiva è attuata per mezzo della legislazione dei singoli Paesi (deve quindi essere recepita dal singolo Stato e tramutata in legge ordinaria) mentre un regolamento, una volta adottato, diventa immediatamente applicabile come legge in tutti gli Stati UE simultaneamente.

Rafforzamento dei diritti degli individui

Il regolamento riguarderà sia i consumatori, che le imprese e/o i Professionisti e le Pubbliche Amministrazioni. Infatti, la nuova normativa serve innanzitutto a rafforzare i diritti già esistenti ed a potenziare i singoli individui con più controllo sui propri dati personali. In particolare:

  1. Accesso più semplice ai propri dati: le persone avranno maggiori informazioni su come i propri dati vengono processati. Tali informazioni dovranno essere presentate in modo chiaro e comprensibile;
  2. Diritto alla trasferibilità dei dati: sarà più semplice trasferire i propri dati personali fra diversi fornitori di servizi in un formato aperto (Open);
  3. Diritto all’oblio: se un individuo non vuole più che i propri dati vengano trattati, e dimostra che non c’è motivo per conservarli, i suoi dati dovranno essere cancellati;
  4. Trattamento dei dati personali del minore: vengono introdotte delle condizioni per la legittimità del trattamento dei dati personali del minore per i servizi di informazione che gli vengono offerti direttamente;
  5. Diritto di sapere quando i propri dati sono stati violati: ad esempio, Imprese Aziende, Professionisti ed Organizzazioni devono notificare il prima possibile (48-72 ore) all’Autorità Nazionale di Vigilanza (Garante Privacy in Italia) le violazioni di dati personali più gravi, cosicché gli utenti possano prendere le misure adeguate.

Principi commerciali e tecnici

Nell’unificare le normative europee in materia di protezione dei dati, i legislatori mirano anche a creare opportunità di business e ad incoraggiare l’innovazione e la sicurezza informatica. Con questa prospettiva la nuova regolamentazione stabilirà alcuni nuovi principi:

  1. Un continente, una legge: il regolamento stabilirà un solo pacchetto di regole per rendere più facile ed economico per le imprese fare business nell’Unione Europea;
  2. Una sola autorità di vigilanza: le imprese faranno capo ad una singola Autorità (Europea) di Vigilanza, con un risparmio stimato di 2.3 miliardi di euro all’anno;
  3. Normativa europea su suolo europeo: le imprese extra-UE dovranno comunque applicare la normativa europea quando offrono servizi nell’Unione Europea;
  4. Approccio basato sul rischio: la normativa prevederà degli obblighi complessi ma uguali per tutti, e si adatterà ai rispettivi rischi in maniera dinamica e sotto la supervisione e controllo di garanzia di Professionisti Data Protection Officer (DPO)
  5. Una normativa adatta all’innovazione: il regolamento garantirà che la salvaguardia della protezione dei dati personali sia integrata in prodotti e servizi fin dalla fase iniziale del processo (“Privacy by Design- Privacy by Default”). Le pratiche a tutela della privacy, come l’uso di pseudonimi, saranno incoraggiate per sfruttare i benefici dei big data, ma proteggendo al contempo la Privacy.

In aggiunta, questa riforma taglierà i costi e la burocrazia del commercio europeo, con particolare attenzione alle Piccole e Medie Imprese (PMI), alle quali comunque sarà conveniente in ogni caso aderire ed aggiornare le politiche di privacy interne. La riforma della protezione dei dati dell’UE aiuterà le PMI ad affacciarsi ed integrarsi su nuovi mercati già evoluti. Grazie alla nuova normativa, le PMI otterranno inoltre dei benefici derivanti da alcune semplificazioni nella burocrazia:

  1. Basta notifiche: le notifiche alle autorità di vigilanza sono una formalità che rappresenta un costo di 130 milioni di euro all’anno. La riforma eliminerà definitivamente quelle ordinarie, mantenendo quelle più a rischio privacy
  2. Richieste modifica ed accesso ai dati: in caso di richieste di accesso ai dati con costi in termini di tempo e risorse per aziende e/o palesemente infondate, le PMI potranno richiedere una tariffa per fornire l’accesso e la modifica;
  3. Responsabili del trattamento dati personali: le PMI saranno esonerate dall’obbligo di nominare un responsabile del trattamento dei dati personali nella misura in cui il trattamento dati non sia la principale attività dell’impresa;
  4. Valutazioni d’impatto (Privacy Impact): le PMI non avranno, di norma, un obbligo stringente di effettuare la “valutazione d’impatto”, a meno che non ci sia un “rischio specifico“, dato il volume di dati trattati relativi a soggetti terzi specie in modalita elettronica. Anche se risulta “altamente consigliabile” valutare con professionisti privacy se ci si può considerare al di fuori di questa categoria a rischio, evitando il “fai da te” interpretativo della normativa e del Regolamento.

2. Direttiva sulla protezione dei dati per la polizia e le autorità in materia di giustizia penale

Secondo la Commissione Europea, questa direttiva punta a migliorare la cooperazione tra le autorità incaricate dell’applicazione delle norme, rafforzando la fiducia reciproca tra polizia e autorità giudiziaria. Inoltre fornirà ai cittadini una migliore protezione dei propri dati: i dati personali dei singoli individui saranno protetti con più sicurezza anche durante una qualsiasi operazione a scopo giudiziario, inclusa la prevenzione di un crimine. La normativa proteggerà chiunque – a prescindere dall’essere vittima, sospettato di reato o testimone. Tutti i trattamenti necessari per l’applicazione della legge nell’Unione dovranno attenersi ai principi di necessità, proporzionalità e legalità, con le appropriate garanzie per i singoli individui. La supervisione è garantita dalle Autorità Nazionali (Garante Privacy) responsabili della protezione dei dati; in più, dovranno essere messi a disposizione dell’individuo degli strumenti giudiziari per i ricorsi.

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Annunci