Call Us: +39 0272095436

News dai mercati

Privacy: il nuovo pacchetto per la protezione dei dati varato dall’UE

Privacy: il nuovo pacchetto per la protezione dei dati varato dall’UE

Come noto, lo scorso maggio è stato pubblicato nella Gazzetta Ufficiale della Comunità Europea il nuovo pacchetto Europeo sulla protezione dei dati personali varato dall’Unione, concludendosi in tal modo un iter legislativo che durava da oltre 4 anni.

Il nuovo Regolamento UE 2016/679, fissa e ribadisce alcuni principi cardine in tema di trattamento dei dati personali, ovvero:

- liceità, correttezza e trasparenza del trattamento;

- limitazione della finalità della raccolta;

- minimizzazione ed esattezza dei dati raccolti;

- limitazione della conservazione nel tempo;

- integrità e riservatezza;

- responsabilizzazione del titolare del trattamento.

Nel concreto tali principi troveranno applicazione, mediante:

- maggiori limitazioni al trattamento automatizzato dei dati;

- diritto di opposizione dell’interessato, compresa la profilazione;

- informazioni più chiare e complete sul trattamento dei dati;

- diritto di accesso, di rettifica e di cancellazione (diritto all’oblio);

- diritto alla portabilità dei dati da un titolare del trattamento ad un altro o Paesi Terzi e organizzazioni internazionali;

- notifica in caso di violazione dei dati personali all’Autorità di controllo;

- semplificazione delle modalità di accesso ai propri dati.

Qui di seguito si sintetizzano le maggiori novità di cui dovranno necessariamente tenere conto le imprese:

Ampliamento dell’ambito di applicazione

E’ previsto un unico ombrello normativo per tutte le Imprese, sia dell’Unione che a quelle extra U.E. che offrono beni e servizi ai cittadini europei. Il nuovo regolamento sarà applicabile ad ogni trattamento di persone fisiche posto in essere in Europa o anche fuori, quando vengano offerti beni/servizi o effettuate attività di profilazione.

Inoltre, è prevista una maggiore cooperazione internazionale tra Autorità Nazionali incaricate della protezione dei dati, l’istituzione di un’Autorità Unica di Controllo Nazionale oltre all’attività di supervisione ed intervento del Comitato Europeo per la protezione dei dati.

Rafforzamento delle misure di sicurezza

le aziende sono tenute ad adottare misure di sicurezza adeguate al rischio di trattamento dei dati (approccio basato sul rischio), come per esempio la pseudoanonimizzazione e la cifratura.

Maggiori diritti per gli interessati

Gli interessati del trattamento potranno contare su di una tutela più efficace dei loro diritti.

Infatti viene finalmente codificato il diritto all’oblio (ovvero alla cancellazione dei propri dati quando il loro trattamento non è più necessario), e vengono introdotti i diritti alla portabilità (spostamento dei dati da un ISP ad un altro) ed il diritto di opporsi al trattamento.

Previsione di nuove figure professionali

Le aziende, nei casi qui di seguito specificati, dovranno designare un responsabile della protezione dei dati.

Tale nuova figura (Data Protection Officer) può essere un dipendente (avente anche altri compiti e funzioni purché non configgenti con tale ruolo) ovvero un soggetto esterno, e deve essere coinvolto in tutte le questioni riguardanti il trattamento dei dati personali.

La sua designazione è prevista ogni qualvolta:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

Codici di condotta e certificazione di qualità

Il Regolamento incoraggia poi l’elaborazione di codici di condotta e l'istituzione di meccanismi di certificazione per la protezione dei dati.

Sanzioni

È previsto un inasprimento delle sanzioni amministrative.

Infatti, per le imprese che non si adeguano al Regolamento sono previste sanzioni pecuniarie più elevate: fino a 10.000.000 di Euro, o per le imprese fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente.

***

Il Regolamento sarà applicabile dal 25 Maggio 2018 (da tale data sarà abrogata la precedente direttiva 95/46/C); gli Stati membri hanno quindi due anni di tempo per recepire le disposizioni della direttiva nel diritto nazionale con apposite norme.

Benché la scadenza non sia immediata, dato l’impatto considerevole che il nuovo regolamento avrà, imprese ed aziende devono porre mano sin da subito alle loro privacy policy e ai propri sistemi di gestione e protezione dati.

Per fare ciò possono senz’altro contare sul team di legali esperti in privacy e protezione dati di Marazzi &Advisors che sono a loro disposizione per audit e interventi di revisione ed adeguamento.


An international network of stregic partners