Privacy: nuovo Regolamento europeo.

Il 25 gennaio 2012, a Bruxelles, la Commissione europea ha proposto una riforma globale della normativa UE sulla protezione dei dati delle persone fisiche. Il nuovo Regolamento ha lo scopo di fissare delle regole chiare e uniformi sulla privacy online e offline e, una volta approvato dal Parlamento e dal Consiglio UE, varrà per tutti i Paesi europei.

L'Avv. Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy, illustra quali saranno i principali cambiamenti introdotti dal nuovo Regolamento, che non entrerà in vigore prima di un anno (questo il tempo all'incirca previsto per la sua approvazione definitiva):

"La Commissione Europea ha presentato il 25 gennaio scorso una proposta di Regolamento sulla protezione dei dati personali. Detta così, non sembra nulla di rivoluzionario, e invece lo è: con questa proposta, è iniziata ufficialmente la fase legislativa che potrebbe portare in un annetto all'approvazione di una nuova normativa privacy valida in tutta UE.

In particolare, il Regolamento sarebbe direttamente legge in ogni singolo Stato Membro, senza bisogno, come invece avveniva per le Direttive, di essere recepito con norme nazionali.
Quale sarà l'impatto del nuovo Regolamento privacy europeo? Enorme. Non solo sostituirà la Direttiva 95/46/EC - che fu la direttiva "madre" della privacy nel nostro continente - ma di fatto abrogherà buona parte dei "Codici privacy" nazionali, incluso quello italiano. Fa un po' sorridere leggere sui giornali di abolizione del DPS (Documento Programmatico sulla Sicurezza, adempimento ora eliminato dal DL Semplificazioni del Governo Monti), giacché è probabile che tra circa due anni in tutta Europa si dovranno rispettare molti adempimenti ben più impegnativi.

Il Regolamento, infatti, introdurrà novità rilevanti per cittadini, imprese ed enti, tra cui:
- l'obbligo di "privacy impact assessment" (valutazioni preventive di impatto sulla tutela dei dati) in caso di trattamenti rischiosi;
- l'obbligo per le aziende con più di 250 dipendenti e per gli enti pubblici di nominare un "data protection officer" (responsabile della protezione dei dati personali), che dovrà essere competente, indipendente e potrà anche essere esterno all'ente/impresa, per esempio un avvocato;
- il diritto all'oblio, per cui ogni interessato potrà richiedere la rimozione di propri dati personali per motivi legittimi (per esempio, potremo chiedere di essere "dimenticati" on line);
- il diritto alla portabilità dei dati da un provider a un altro, in formato neutro;
- la previsione delle figure dei “joint controllers” (titolari congiunti), che potranno “spartirsi” le responsabilità privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi: questa novità sarà d’aiuto, in particolare, nel settore del cloud computing providing (fino ad oggi difficilmente inquadrabile nei vecchi schemi titolare/responsabile);
- la previsione del concetto di "stabilimento principale" del titolare, per evitare che un'impresa attiva in più Stati UE debba fronteggiare gli adempimenti nazionali di ogni singolo Stato;
- la previsione del ruolo di "lead authority", in modo tale che vi sia un solo Garante di volta in volta responsabile dei procedimenti multi-Stato;
- sanzioni molto più pesanti, fino al 2% del volume d'affari globale di un'impresa, per assicurare che la privacy inizi a diventare un tema sensibile anche per i consigli di amministrazione di grandi colossi multinazionali;
- una severa disciplina di opt-in (consenso preventivo) per i cookie pubblicitari online, sebbene questa materia sia appena stata oggetto di normativa europea (Direttiva 2009/136/EC) e il Governo italiano stia per approvare il decreto legislativo attuativo;
- l'introduzione del principio della cosiddetta "accountability", per il quale ogni titolare, in caso di problemi o controlli, dovrà dimostrare nei fatti, al di là dei formalismi, di avere adottato i modelli organizzativi e le misure logiche, fisiche, elettroniche di sicurezza per proteggere i dati;
- l’obbligo di attenersi, nell’ideazione di nuovi prodotti o servizi, ai principi della “data protection by design” e della “data protection by default”, come saranno dettagliati in seguito con atti delegati della Commissione Europea (questa disposizione incute timore al mercato tecnologico, poiché potrebbero arrivare standard privacy di produzione delle tecnologie stabiliti top-down dalla UE, con possibili effetti sulla competitività dei produttori extra-UE e più in generale con impatti sui processi di innovazione).

Dulcis in fundo, il Regolamento prevede una vera e propria “conquista privacy europea del resto del mondo”, poiché impone che si applichi la normativa UE (con tutti gli annessi e connessi in termini di adempimenti) quando un’impresa extra-UE rivolga servizi o prodotti al mercato UE, potendo desumersi questa condizione da diversi elementi (domini, lingue, strumenti utilizzati ecc.): sarà da vedere se, al di là delle regole astratte, la UE riuscirà veramente a imporre le proprie norme a 10.000 km di distanza, in assenza di trattati internazionali sulla materia.

Tra luci (molte, per l’unificazione delle regole europee e per il superamento di parecchi formalismi) e ombre (altrettante, per le difficoltà applicative, per l’inasprirsi delle sanzioni e l’intensificarsi delle responsabilità e degli adempimenti preventivi), non resta che prepararci – magari anticipando in veste di “best practice” l’attuazione di alcune regole nelle imprese – e contribuire al dibattito, in attesa che il testo finale venga approvato da Parlamento UE e Consiglio".

Fonte: www.contactlab.com