Il nuovo Regolamento Europeo sulla Privacy
Il 15 dicembre 201 c'è stato l'accordo in UE sul nuovo Regolamento della Privacy che avrà grande impatto sia per le persone che per le aziende
Il 15 dicembre 2015 il Consiglio, il Parlamento e Commissione hanno raggiunto l’accordo sul testo definitivo del nuovo Regolamento Europeo sulla tutela dei dati personali.
Va chiarito comunque subito che non appena il Regolamento diventerà esecutivo ci saranno due anni di tempo per adeguarsi, ma a differenza delle direttiva che deve essere recepita da una norma nazionale sarà direttamente applicabile e quindi un unico in tutta l'UE; tra l’altro sarà applicabile anche alle aziende extra-europee che offrono servizi o beni all’interno del mercato europeo.
Alcune indicazioni tuttavia possono essere fornite sin da subito. Va infatti sottolineato che la natura trasversale della privacy (da diritto fondamentale a materi rilevanti per il business) avrà un impatto rilevantissimo sulla gestione dell’azienda.
Soltanto le imprese che si faranno trovare pronte e saranno open minded potranno guardare il futuro con maggiori certezze. Le altre non potranno far altro che segnare il passo.
Ecco quali sono le maggiori novità per le aziende.
Il Regolamento collega la propria struttura e la propria concreta applicazione su un approccio che si basa sull’analisi del rischio, con particolare riferimento alla necessità del Privacy Impact Assessment: i titolari del trattamento dovranno implementare le misure di sicurezza tenendo conto dei risultati dell’analisi del rischio relativo alle operazioni di trattamento dei dati che vengono svolte all’interno dell’azienda.
In tale ottica si è tenuto conto che diverse aziende svolgono differenti attività ed i rischi connessi alle stesse, in termini di privacy, possono variare di caso in caso. Un elevato rischio comporterà obblighi più stringenti.
I titolari del trattamento dovranno attuare, quindi, tutta una serie di misure tecniche ed organizzative al fine di garantire ed essere in grado di dimostrare che il trattamento dei dati personali sia stato effettuato in conformità al Regolamento.
Grande rilevanza è stata data alle ipotesi di c.d. data breach. In questi casi intatti i titolari del trattamento saranno obbligati a porre in essere tutta una serie di prescrizioni a cominciare da immediate comunicazioni all’Autorità.
E’ proprio sotto questi profili che dalla lettura del Regolamento emerge in maniera evidente l’importanza dei concetti di privacy by design e privacy by default, come anche dell’importantissima figura del Data Protection Officer. Figura che necessiterà di un percorso formativo adeguato e di alto profilo; ciò anche perché per le Pubbliche Amministrazioni e per le aziende che trattano dati particolarmente sensibili la nomina del DPO sarà obbligatoria.
D’altra parte va anche ricordato come la nuova normativa sui dati personali preveda come in caso di particolari violazioni sia prevista la possibilità di agire davanti un'Autorità Garante o proporre un ricorso giurisdizionale con condanne fino a € 20 milioni o 4 % del fatturato annuo globale.
Assume allora una particolare rilevanza anche il meccanismo del c.d. one-stop-shop. L’impresa, che opera in più Stati Membri, potrà relazionarsi con l’Autorità Garante che ha sede nello Stato membro in chi ha il proprio stabilimento principale; con la conseguenza, in caso di controversie, si arrivi comunque ad una unica decisione applicabile a tutto il territorio dell'Unione, riducendo anche i costi per la risoluzione di tali questioni e fornendo un maggiore certezza del diritto.
Sotto il profilo del trasferimento di dati personali al di fuori dell'UE il Regolamento stabilisce che ciò può avvenire a condizione che il Stato Terzo garantisca l’adeguatezza della propria normativa rispetto ad un certo numero di prescrizioni dettate dalla normativa europea.
Il Regolamento prevede infine che nel caso di rispetto di clausole rispondenti al modello UE adottato dal Consiglio non sarà necessaria una specifica autorizzazione da parte dell’Autorità Garante; in ogni caso viene riconosciuto il ricorso alle BCR come un meccanismo valido per trasferire i dati personali al di fuori dell'UE .
Avv. Emiliano Vitelli
(Vice presidente Centro Europeo Privacy)
Va chiarito comunque subito che non appena il Regolamento diventerà esecutivo ci saranno due anni di tempo per adeguarsi, ma a differenza delle direttiva che deve essere recepita da una norma nazionale sarà direttamente applicabile e quindi un unico in tutta l'UE; tra l’altro sarà applicabile anche alle aziende extra-europee che offrono servizi o beni all’interno del mercato europeo.
Alcune indicazioni tuttavia possono essere fornite sin da subito. Va infatti sottolineato che la natura trasversale della privacy (da diritto fondamentale a materi rilevanti per il business) avrà un impatto rilevantissimo sulla gestione dell’azienda.
Soltanto le imprese che si faranno trovare pronte e saranno open minded potranno guardare il futuro con maggiori certezze. Le altre non potranno far altro che segnare il passo.
Ecco quali sono le maggiori novità per le aziende.
Il Regolamento collega la propria struttura e la propria concreta applicazione su un approccio che si basa sull’analisi del rischio, con particolare riferimento alla necessità del Privacy Impact Assessment: i titolari del trattamento dovranno implementare le misure di sicurezza tenendo conto dei risultati dell’analisi del rischio relativo alle operazioni di trattamento dei dati che vengono svolte all’interno dell’azienda.
In tale ottica si è tenuto conto che diverse aziende svolgono differenti attività ed i rischi connessi alle stesse, in termini di privacy, possono variare di caso in caso. Un elevato rischio comporterà obblighi più stringenti.
I titolari del trattamento dovranno attuare, quindi, tutta una serie di misure tecniche ed organizzative al fine di garantire ed essere in grado di dimostrare che il trattamento dei dati personali sia stato effettuato in conformità al Regolamento.
Grande rilevanza è stata data alle ipotesi di c.d. data breach. In questi casi intatti i titolari del trattamento saranno obbligati a porre in essere tutta una serie di prescrizioni a cominciare da immediate comunicazioni all’Autorità.
E’ proprio sotto questi profili che dalla lettura del Regolamento emerge in maniera evidente l’importanza dei concetti di privacy by design e privacy by default, come anche dell’importantissima figura del Data Protection Officer. Figura che necessiterà di un percorso formativo adeguato e di alto profilo; ciò anche perché per le Pubbliche Amministrazioni e per le aziende che trattano dati particolarmente sensibili la nomina del DPO sarà obbligatoria.
D’altra parte va anche ricordato come la nuova normativa sui dati personali preveda come in caso di particolari violazioni sia prevista la possibilità di agire davanti un'Autorità Garante o proporre un ricorso giurisdizionale con condanne fino a € 20 milioni o 4 % del fatturato annuo globale.
Assume allora una particolare rilevanza anche il meccanismo del c.d. one-stop-shop. L’impresa, che opera in più Stati Membri, potrà relazionarsi con l’Autorità Garante che ha sede nello Stato membro in chi ha il proprio stabilimento principale; con la conseguenza, in caso di controversie, si arrivi comunque ad una unica decisione applicabile a tutto il territorio dell'Unione, riducendo anche i costi per la risoluzione di tali questioni e fornendo un maggiore certezza del diritto.
Sotto il profilo del trasferimento di dati personali al di fuori dell'UE il Regolamento stabilisce che ciò può avvenire a condizione che il Stato Terzo garantisca l’adeguatezza della propria normativa rispetto ad un certo numero di prescrizioni dettate dalla normativa europea.
Il Regolamento prevede infine che nel caso di rispetto di clausole rispondenti al modello UE adottato dal Consiglio non sarà necessaria una specifica autorizzazione da parte dell’Autorità Garante; in ogni caso viene riconosciuto il ricorso alle BCR come un meccanismo valido per trasferire i dati personali al di fuori dell'UE .
Avv. Emiliano Vitelli
(Vice presidente Centro Europeo Privacy)
Articolo del: