Regolamento UE Privacy: nuove regole
Storica intesa raggiunta nella notte, garanzia di innovazione e sviluppo?
A differenza del pensiero comune, il nuovo Regolamento Europeo in materia di Protezione dei Dati Personali avrà un forte impatto sul mercato globale digitale e detterà nuove regole soprattutto per il web e per le comunicazioni elettroniche. Diversamente non poteva essere, siamo ormai nel terzo millennio, nuova frontiera assoluta del digitale. Web 3.0, Internet of Things, Always Connect, Big Data, Droni e tanti altri sono ormai i termini entrati con forza dirompente sempre di più nel nostro parlato quotidiano.
"Oggi tutto è digitale, quindi abbiamo bisogno di regole per una quantità enorme di questioni e queste regole devono essere applicate, e devono essere comprensibili per ogni utente" ha detto Felix Braz, ministro della giustizia del Lussemburgo, presidenza di turno dell’Unione Europea.
E’ ormai quindi prossima alla "pensione" la prima normativa privacy UE, definita Direttiva Madre. Risale al lontano 1995 la sua approvazione in quello che era un contesto di trattamento di dati personali prevalentemente cartaceo. Trattandosi di Direttiva il risultato è stato un mosaico variegato costituito da ben 28 norme nazionali, purtroppo e per alcuni aspetti, anche diverse tra loro con tutte le conseguenze e difficoltà che possono derivare.
Il nuovo Regolamento porterà, invece, verso un’armonizzazione a livello Europeo del Diritto Privacy, un’unica norma uguale per tutti gli Stati membri, e "la sua forza gli consentirà di stabilire nuovi standard globali nel nuovo unico mercato digitale" commenta subito Sophie in ‘t Veld, relatore UE, al termine dell’incontro.
I fatti
E’ solo di qualche ora fa la notizia dell’intesa raggiunta a Strasburgo: un accordo storico che cambierà radicalmente la protezione dei dati personali in Europa e non solo. Dopo quasi quattro anni di trattative e di lobbyng si è arrivati ad un forte compromesso su come assicurare un elevato livello di protezione dei dati in tutta l’Unione Europea.
Il c.d. Trilogo, composto dai rappresentanti del Consiglio degli Stati, Commissione e Parlamento UE, ha sottoscritto un accordo sul testo del nuovo GDPR (General Data Protection Regulation) che mira a dare ai cittadini un pieno controllo sui propri dati personali e certezza giuridica alle imprese per stimolare l’innovazione e una corretta concorrenza nel nuovo mercato digitale.
Le principali novità
Il nuovo Regolamento in materia di protezione dei dati personali introdurrà diverse novità, quelle più rilevanti: Data Protection Officer, nuova figura professionale obbligatoria per la Pubblica Amministrazione, per le Grandi Imprese, e per quelle organizzazioni anche di dimensioni più ridotte che trattano dati speciali e/o che effettuano trattamenti particolarmente rilevanti; Diritto applicabile, anche i fornitori extra Ue che forniscono servizi ai cittadini europei dovranno rispettare il nuovo Diritto Privacy comunitario; One-Stop-Shop, unica Autorità Garante di riferimento per le multinazionali che coinciderà con quella del paese presso il quale è ubicata la sede principale europea; Notificazione abrogata, nessuna comunicazione preventiva anche per trattamenti delicati all’Autorità di competenza; Data Protection Impact Assessment, valutazione d’impatto preventiva relativa ai trattamenti di dati non solo rilevanti finalizzata alla mitigazione dei rischi e idoneo recepimento normativo; Privacy by Design, protezione dei dati personali recepita già in fase di progettazione; Privacy by Default, tutela delle informazioni personali più restrittiva possibile configurata di base; Consenso esplicito, rafforzamento dell’autorizzazione al trattamento dei dati personali; 16enni e Internet, autorizzazione esplicita dei genitori per la fruizione di servizi on-line per i minori di 16 anni; Data Breach Notification, comunicazione entro 24 ore all’Autorità Garante competente di accessi non autorizzati ai sistemi informatici; Portabilità dei dati, trasferimento di informazioni personali da un fornitore ad un nuovo fornitore di servizi on-line; Diritto all’Oblio, cancellazione di dati personali presso fornitore di servizi on-line; Accesso ai dati personali, miglioramento dell’attuale diritto di accesso, maggiore chiarezza e comprensibilità in merito al trattamento delle proprie informazioni personali; Sanzioni, in caso di gravi violazioni potranno raggiungere il 4% del fatturato mondiale.
L’accordo appena sottoscritto prevede anche una Direttiva in materia di Giustizia Penale e Polizia al fine di tutelare adeguatamente i dati personali in caso di indagini e consentire una migliore collaborazione transfrontaliera tra le forze di polizia e la giustizia.
Prossime tappe
Il testo del nuovo Regolamento appena sottoscritto, a patto di qualche colpo di coda dell’ultim’ora, si può considerare ormai "definitivo": il pacchetto sarà votato giovedì 17 dicembre alle ore 9.30 sempre a Strasburgo dalla Commissione LIBE (libertà civili, giustizia e affari generali) e, se così approvato, sarà successivamente messo ai voti dal Parlamento UE a gennaio. Concluso tale iter il nuovo Regolamento dovrebbe entrare in vigore ad inizio primavera 2016 e gli Stati membri avranno due anni di tempo per il recepimento nella propria legislazione nazionale del nuovo Diritto Privacy UE.
Riflessioni e conclusioni
Il principio comune ispiratore e dichiarato del nuovo Regolamento è dunque il rafforzamento del diritto alla privacy di ogni cittadino UE e del potere di controllare le proprie informazioni personali. Ma lo è anche in pratica?
Probabilmente all’interno della UE la risposta è si, ma al di fuori dei suoi confini, sempre che di confini si possa parlare in un contesto di dato e mercato globale digitale, tali diritti saranno comunque garantiti?
Le nuove regole di fatto evidenziano significative differenze di pensare alla Privacy tra UE e USA, le cui norme risalgono alla fine dello scorso secolo, ma anche importanti differenze con una norma privacy recente, settembre di questo anno, introdotta in Russia con la quale si obbligano le Imprese straniere che trattano dati personali dei propri cittadini ad avvalersi di soli data center ubicati sul proprio territorio nazionale.
"E’ difficile fare un’analisi comparativa e dire dove il diritto privacy sia meglio o peggio. Sono diversi. Sostanzialmente, però, riconoscono la necessità di proteggere la stessa cosa" ha dichiarato, solo dopo qualche ora dallo storico accordo, Trevor Huhges, CEO di International Association of Privacy Professionals (IAPP) che ha continuato, "Anche se l’Unione Europea ha eliminato la frammentazione normativa tra gli Stati membri, diversi sono comunque gli approcci alla privacy in tutto il mondo e diventerà sempre più complesso. Non ci sarà mai un unico standard globale".
"Questa è una delle grandi tensioni che abbiamo nell’economia delle informazioni, dove diverse giurisdizioni in tutto il mondo si avvicinano alla privacy e alla protezione dei dati in modo diverso" ha detto Hughes, che commenta ancora, "Internet non presta molta attenzione ai confini e i dati corrono di continuo per tutto il mondo. Non è come in Russia, per esempio, dove si può semplicemente disattivarlo e avere il tempo di capire cosa e come fare".
Questo accordo porterà maggiore chiarezza per gli utenti e le imprese, in quanto l’UE potrà finalmente avere un quadro giuridico comune: questa la più importante novità la cui portata storica è sicuramente non discutibile, ma lo è anche la sua applicazione?
Nei giorni scorsi Giulio Coraggio in un suo articolo scrive "... la prossima normativa europea privacy, come il tuo prossimo mal di testa. E in effetti è vero che il regolamento fornirà un livello più elevato di protezione dei dati personali nel mercato unico digitale. Ma la sua attuazione potrebbe non essere" così semplice come potrebbe sembrare poiché "permangono ancora alcune zone d’ombra".
Il nuovo Regolamento porterà anche ad una riduzione dei costi di conformità per le imprese e la stessa V?ra Jourová, commissario europeo per la Giustizia, in conferenza stampa a Bruxelles il 10 dicembre dichiara "Le aziende ne beneficeranno risparmiando circa 2,3 miliardi di euro all’anno solo in termini di minori oneri di conformità derivanti dall’attuale frammentazione delle leggi nazionali sulla protezione dei dati".
Ma sarà così davvero?
In linea di principio avere a che fare con un’unica norma per l’intera Unione dovrebbe essere di sicuro più vantaggioso che doversi confrontare con le 28 attuali e anche diverse norme di quanti sono gli Stati membri, e questa semplificazione dovrebbe ridurre la burocrazia e i relativi costi di compliance per le imprese che dovrebbero di fatto risparmiare e generare quindi maggiori profitti.
Ma le novità sono diverse, alcuni principi e relative regole rispetto a quelle attuali vengono rafforzate, gli adempimenti ad esclusione della Notifica sono numerosi e le attività da gestire per recepire in maniera idonea il nuovo Diritto Privacy UE sono molteplici. E lo saranno ancora di più per le imprese che operano nel comparto tecnologico e con internet che "avranno un sacco di lavoro da fare per garantire la conformità" come sempre dichiarato da Trevor Hughes che ha consigliato di prendere un respiro profondo, "c’è un periodo di attuazione di due anni prima che il regolamento verrà applicato". Magra consolazione verrebbe da dire.
"Sembra che il cielo ci stia cadendo addosso, ma abbiamo tempo" ha detto Hughes, che conclude il suo intervento con un "Tuttavia, le aziende dovrebbero prestare attenzione a ciò che sta accadendo. Questa è roba importante. La complessità è in aumento come è il rischio di non conformità, e la probabilità che i regolatori si sentiranno fortemente responsabilizzati è alta e per tale ragione inizieranno a ricercare casi per dimostrare l’importanza del GDPR". Casi che sanno molto di attività ispettive.
Nei prossimi giorni saranno pubblicati nuovi contenuti relativi all’approfondimento delle ormai recenti novità introdotte dal nuovo Regolamento.
E ora? Non ci resta che rimanere affacciati alla finestra e attendere l’evolversi degli eventi o che "il cielo ci cada addosso". Il 2015 passerà alla storia come l’anno della protezione dei dati, e il 2016?
Nel frattempo sarebbe interessante sapere cosa ne pensi. La tua opinione per me è importante.
Fonte: microell.it
"Oggi tutto è digitale, quindi abbiamo bisogno di regole per una quantità enorme di questioni e queste regole devono essere applicate, e devono essere comprensibili per ogni utente" ha detto Felix Braz, ministro della giustizia del Lussemburgo, presidenza di turno dell’Unione Europea.
E’ ormai quindi prossima alla "pensione" la prima normativa privacy UE, definita Direttiva Madre. Risale al lontano 1995 la sua approvazione in quello che era un contesto di trattamento di dati personali prevalentemente cartaceo. Trattandosi di Direttiva il risultato è stato un mosaico variegato costituito da ben 28 norme nazionali, purtroppo e per alcuni aspetti, anche diverse tra loro con tutte le conseguenze e difficoltà che possono derivare.
Il nuovo Regolamento porterà, invece, verso un’armonizzazione a livello Europeo del Diritto Privacy, un’unica norma uguale per tutti gli Stati membri, e "la sua forza gli consentirà di stabilire nuovi standard globali nel nuovo unico mercato digitale" commenta subito Sophie in ‘t Veld, relatore UE, al termine dell’incontro.
I fatti
E’ solo di qualche ora fa la notizia dell’intesa raggiunta a Strasburgo: un accordo storico che cambierà radicalmente la protezione dei dati personali in Europa e non solo. Dopo quasi quattro anni di trattative e di lobbyng si è arrivati ad un forte compromesso su come assicurare un elevato livello di protezione dei dati in tutta l’Unione Europea.
Il c.d. Trilogo, composto dai rappresentanti del Consiglio degli Stati, Commissione e Parlamento UE, ha sottoscritto un accordo sul testo del nuovo GDPR (General Data Protection Regulation) che mira a dare ai cittadini un pieno controllo sui propri dati personali e certezza giuridica alle imprese per stimolare l’innovazione e una corretta concorrenza nel nuovo mercato digitale.
Le principali novità
Il nuovo Regolamento in materia di protezione dei dati personali introdurrà diverse novità, quelle più rilevanti: Data Protection Officer, nuova figura professionale obbligatoria per la Pubblica Amministrazione, per le Grandi Imprese, e per quelle organizzazioni anche di dimensioni più ridotte che trattano dati speciali e/o che effettuano trattamenti particolarmente rilevanti; Diritto applicabile, anche i fornitori extra Ue che forniscono servizi ai cittadini europei dovranno rispettare il nuovo Diritto Privacy comunitario; One-Stop-Shop, unica Autorità Garante di riferimento per le multinazionali che coinciderà con quella del paese presso il quale è ubicata la sede principale europea; Notificazione abrogata, nessuna comunicazione preventiva anche per trattamenti delicati all’Autorità di competenza; Data Protection Impact Assessment, valutazione d’impatto preventiva relativa ai trattamenti di dati non solo rilevanti finalizzata alla mitigazione dei rischi e idoneo recepimento normativo; Privacy by Design, protezione dei dati personali recepita già in fase di progettazione; Privacy by Default, tutela delle informazioni personali più restrittiva possibile configurata di base; Consenso esplicito, rafforzamento dell’autorizzazione al trattamento dei dati personali; 16enni e Internet, autorizzazione esplicita dei genitori per la fruizione di servizi on-line per i minori di 16 anni; Data Breach Notification, comunicazione entro 24 ore all’Autorità Garante competente di accessi non autorizzati ai sistemi informatici; Portabilità dei dati, trasferimento di informazioni personali da un fornitore ad un nuovo fornitore di servizi on-line; Diritto all’Oblio, cancellazione di dati personali presso fornitore di servizi on-line; Accesso ai dati personali, miglioramento dell’attuale diritto di accesso, maggiore chiarezza e comprensibilità in merito al trattamento delle proprie informazioni personali; Sanzioni, in caso di gravi violazioni potranno raggiungere il 4% del fatturato mondiale.
L’accordo appena sottoscritto prevede anche una Direttiva in materia di Giustizia Penale e Polizia al fine di tutelare adeguatamente i dati personali in caso di indagini e consentire una migliore collaborazione transfrontaliera tra le forze di polizia e la giustizia.
Prossime tappe
Il testo del nuovo Regolamento appena sottoscritto, a patto di qualche colpo di coda dell’ultim’ora, si può considerare ormai "definitivo": il pacchetto sarà votato giovedì 17 dicembre alle ore 9.30 sempre a Strasburgo dalla Commissione LIBE (libertà civili, giustizia e affari generali) e, se così approvato, sarà successivamente messo ai voti dal Parlamento UE a gennaio. Concluso tale iter il nuovo Regolamento dovrebbe entrare in vigore ad inizio primavera 2016 e gli Stati membri avranno due anni di tempo per il recepimento nella propria legislazione nazionale del nuovo Diritto Privacy UE.
Riflessioni e conclusioni
Il principio comune ispiratore e dichiarato del nuovo Regolamento è dunque il rafforzamento del diritto alla privacy di ogni cittadino UE e del potere di controllare le proprie informazioni personali. Ma lo è anche in pratica?
Probabilmente all’interno della UE la risposta è si, ma al di fuori dei suoi confini, sempre che di confini si possa parlare in un contesto di dato e mercato globale digitale, tali diritti saranno comunque garantiti?
Le nuove regole di fatto evidenziano significative differenze di pensare alla Privacy tra UE e USA, le cui norme risalgono alla fine dello scorso secolo, ma anche importanti differenze con una norma privacy recente, settembre di questo anno, introdotta in Russia con la quale si obbligano le Imprese straniere che trattano dati personali dei propri cittadini ad avvalersi di soli data center ubicati sul proprio territorio nazionale.
"E’ difficile fare un’analisi comparativa e dire dove il diritto privacy sia meglio o peggio. Sono diversi. Sostanzialmente, però, riconoscono la necessità di proteggere la stessa cosa" ha dichiarato, solo dopo qualche ora dallo storico accordo, Trevor Huhges, CEO di International Association of Privacy Professionals (IAPP) che ha continuato, "Anche se l’Unione Europea ha eliminato la frammentazione normativa tra gli Stati membri, diversi sono comunque gli approcci alla privacy in tutto il mondo e diventerà sempre più complesso. Non ci sarà mai un unico standard globale".
"Questa è una delle grandi tensioni che abbiamo nell’economia delle informazioni, dove diverse giurisdizioni in tutto il mondo si avvicinano alla privacy e alla protezione dei dati in modo diverso" ha detto Hughes, che commenta ancora, "Internet non presta molta attenzione ai confini e i dati corrono di continuo per tutto il mondo. Non è come in Russia, per esempio, dove si può semplicemente disattivarlo e avere il tempo di capire cosa e come fare".
Questo accordo porterà maggiore chiarezza per gli utenti e le imprese, in quanto l’UE potrà finalmente avere un quadro giuridico comune: questa la più importante novità la cui portata storica è sicuramente non discutibile, ma lo è anche la sua applicazione?
Nei giorni scorsi Giulio Coraggio in un suo articolo scrive "... la prossima normativa europea privacy, come il tuo prossimo mal di testa. E in effetti è vero che il regolamento fornirà un livello più elevato di protezione dei dati personali nel mercato unico digitale. Ma la sua attuazione potrebbe non essere" così semplice come potrebbe sembrare poiché "permangono ancora alcune zone d’ombra".
Il nuovo Regolamento porterà anche ad una riduzione dei costi di conformità per le imprese e la stessa V?ra Jourová, commissario europeo per la Giustizia, in conferenza stampa a Bruxelles il 10 dicembre dichiara "Le aziende ne beneficeranno risparmiando circa 2,3 miliardi di euro all’anno solo in termini di minori oneri di conformità derivanti dall’attuale frammentazione delle leggi nazionali sulla protezione dei dati".
Ma sarà così davvero?
In linea di principio avere a che fare con un’unica norma per l’intera Unione dovrebbe essere di sicuro più vantaggioso che doversi confrontare con le 28 attuali e anche diverse norme di quanti sono gli Stati membri, e questa semplificazione dovrebbe ridurre la burocrazia e i relativi costi di compliance per le imprese che dovrebbero di fatto risparmiare e generare quindi maggiori profitti.
Ma le novità sono diverse, alcuni principi e relative regole rispetto a quelle attuali vengono rafforzate, gli adempimenti ad esclusione della Notifica sono numerosi e le attività da gestire per recepire in maniera idonea il nuovo Diritto Privacy UE sono molteplici. E lo saranno ancora di più per le imprese che operano nel comparto tecnologico e con internet che "avranno un sacco di lavoro da fare per garantire la conformità" come sempre dichiarato da Trevor Hughes che ha consigliato di prendere un respiro profondo, "c’è un periodo di attuazione di due anni prima che il regolamento verrà applicato". Magra consolazione verrebbe da dire.
"Sembra che il cielo ci stia cadendo addosso, ma abbiamo tempo" ha detto Hughes, che conclude il suo intervento con un "Tuttavia, le aziende dovrebbero prestare attenzione a ciò che sta accadendo. Questa è roba importante. La complessità è in aumento come è il rischio di non conformità, e la probabilità che i regolatori si sentiranno fortemente responsabilizzati è alta e per tale ragione inizieranno a ricercare casi per dimostrare l’importanza del GDPR". Casi che sanno molto di attività ispettive.
Nei prossimi giorni saranno pubblicati nuovi contenuti relativi all’approfondimento delle ormai recenti novità introdotte dal nuovo Regolamento.
E ora? Non ci resta che rimanere affacciati alla finestra e attendere l’evolversi degli eventi o che "il cielo ci cada addosso". Il 2015 passerà alla storia come l’anno della protezione dei dati, e il 2016?
Nel frattempo sarebbe interessante sapere cosa ne pensi. La tua opinione per me è importante.
Fonte: microell.it
Articolo del: