Nota di redazione: questo è il primo di una serie di articoli sul tema della protezione dei dati personali alla luce dell’imminente applicazione del Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 2016/679 (GDPR). L’obiettivo è fare chiarezza sugli aspetti principali della nuova disciplina indirizzata alle imprese e alle pubbliche amministrazioni e, soprattutto, ai cittadini.
Il nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 2016/679 (GDPR), entrato in vigore il 24 maggio 2016, troverà applicazione solo alla data del 25 maggio 2018. I suoi 99 articoli hanno ridefinito la disciplina della Privacy a livello europeo, imponendo imprese e pubbliche amministrazioni ad adeguarsi entro 2 anni.
Il GDPR rappresenta senza dubbio un significativo passo in avanti nell’ottica dell’armonizzazione Europea, ed è diretto alla creazione del cd. Digital Single Market (Mercato Unico Digitale).
Si avvertiva da tempo la necessità di una revisione della ormai abrogata Direttiva 95/46/Ce in materia di protezione dei dati personali e privacy, concepita in un periodo in cui internet, social media, tablet e quant’altro non venivano utilizzati così frequentemente come ora. Inoltre, il Regolamento assume un’importanza ancora maggiore in considerazione del sempre crescente valore che i dati stanno assumendo nella società moderna.
L’art. 3[1] del Regolamento, rubricato “Ambito di applicazione territoriale”, statuisce che le nuove disposizioni europee si applicheranno “nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.
Inoltre, l’ambito di applicazione è esteso anche “al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione” qualora il trattamento consista nell’offerta di beni o nella prestazione di servizi agli interessati o nel monitoraggio del loro comportamento all’interno dell’UE. Dove per “stabilimento” deve intendersi “l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile”[2].
Il legislatore europeo ha inteso estendere l’ambito di applicazione territoriale della disciplina in materia di Privacy, al fine di ricomprendere anche molte imprese ed enti che, fino a questo momento, operando all’esterno dell’UE, ne erano escluse.
Ma l’ambito di applicazione territoriale non è l’unico elemento oggetto della nuova normativa europea, il cui obiettivo principale è, infatti, quello di far acquisire ai cittadini il controllo reale ed effettivo dei propri dati personali.
Le nove principali innovazioni apportate dal GDPR sono:
- Nuove informazioni
Ai cittadini è garantito il diritto ad essere informati in modo trasparente e dinamico sui trattamenti effettuati sui dati, sull’adozione di politiche privacy e di misure adeguate in conformità al Regolamento e sulle violazioni dei propri dati personali.
- Valutazioni di impatto
Ogni qualvolta il trattamento dei dati possa comportare rischi elevati per la libertà e dignità dei cittadini, ad es: trattamento su larga scala di dati sensibili, verranno condotte attività di audit per identificare e minimizzare i rischi di non conformità.
- Nuovi concetti
Vengono delineati i nuovi concetti di pseudonimizzazione, privacy by design e privacy by default, e ampliate le definizioni di “dati personali” e “dati sensibili” tali da ricomprendere i cd. dati biometrici e dati genetici.
- Nomina di un Data Protection Officer (DPO)
È una nuova figura di controllo che, nella completa indipendenza e assenza di conflitti di interesse si occuperà di:
- accertare la corretta applicazione ed attuazione del Regolamento,
- fornire pareri sulla valutazione d’impatto,
- mediare per qualsiasi problema degli interessati rispetto all’esercizio dei loro diritti con il Garante;
- Segnalazione Data Breaches
Ai cittadini è garantito il diritto di essere informati sulla perdita, distruzione o diffusione indebita dei dati personali conservati, trasmessi o comunque trattati qualora si verifichino attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità.
- Nuovi ruoli
Il Regolamento definisce i nuovi ruoli aziendali relativi alla protezione dei dati personali: per “data controller” si intende l’attuale “titolare” e con “data processor” si fa riferimento all’attuale “responsabile” ed “incaricato”. In accordo con la maggiore responsabilizzazione sopracitata, tutte le nuove figure saranno responsabili per eventuali violazioni dei propri obblighi.
- Trasferimenti (Diritto alla portabilità dei dati)
Gli interessati hanno il diritto di chiedere che i dati personali forniti a un titolare del trattamento vengano trasmessi ad un altro senza impedimenti; di riceverli in un formato comunemente accettato e leggibile da dispositivo automatico.
- Maggiore enfasi sul consenso
Il Regolamento fornisce una più chiara e puntuale definizione di consenso, a dimostrazione dell’importanza che tale elemento riveste nel trattamento dei dati personali. In caso di trattamento di dati di minori, occorre acquisire il consenso dai genitori o dagli esercenti la patria potestà se l’interessato ha meno di 16 anni.
- Sanzioni più rigide
Infine, è previsto un inasprimento delle sanzioni amministrative e un rafforzamento dei poteri delle Autorità Garanti qualora vengano violati principi e disposizioni del regolamento. In casi particolari le sanzioni possono toccare la soglia dei 10 milioni di euro o, per le imprese, tra il 2% e il 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Le modifiche apportate sono numerose, pertanto l’UE ha ritenuto opportuno intervenire con un regolamento piuttosto che con una direttiva. La ratio è facilmente intuibile: il regolamento, essendo obbligatorio in tutti i suoi elementi e direttamente applicabile, garantisce una maggiore uniformità applicativa, dal momento che qualsiasi atto di recepimento interno risulterebbe contrario a quanto previsto dal Trattato sul Funzionamento dell’Unione Europea[3] (TFUE).
Nonostante ciò, il GDPR consente agli Stati Membri di legiferare in diverse aree, in particolare quando il trattamento dei dati personali è richiesto per ottemperare ad un obbligo di legge, è connesso ad attività di pubblico interesse o è condotto da un’autorità ufficiale. Inoltre, molti articoli prevedono che quanto da essi stessi statuito possa essere integrato o ristretto dalle singole leggi degli Stati Membri. Una delle aree più importanti in cui il Regolamento consente agli Stati Membri di adottare approcci divergenti è quella del trattamento dei dati degli impiegati.
La concreta applicazione del Regolamento è stata differita di 24 mesi rispetto alla sua entrata in vigore. La ragione di ciò va ricercata nel considerevole numero di novità introdotte che non avranno effetti solo sulla tecnologia ma anche sui processi e sull’organizzazione: tutto ciò genera diverse complicazioni che per essere affrontate nel modo giusto richiedono tempo.
Ad oggi mancano circa 7 mesi alla cd. “GDPR revolution”, ma a che punto siamo?
Dalla ricerca condotta da ESET in collaborazione con IDC è emerso che le piccole e medie imprese non sono al passo con l’adeguamento al GDPR: “quasi il 78% dei responsabili IT delle aziende coinvolte non comprende l’impatto della nuova normativa oppure non ne è proprio a conoscenza. Tra quelle che conoscono il GDPR, il 20% afferma di essere già conforme, il 59% si sta adeguando e il 21% afferma di non essere a norma” [4]. La situazione non cambia sul versante pubblico, dove le PA procedono a rilento.
Ormai siamo agli sgoccioli, e mentre alcuni sono già pronti, altri devono correre ai ripari, il tutto in un contesto sociale ed informatico in cui si deve prendere atto che il binomio privacy/sicurezza informatica è, ormai, inscindibile. Infatti, le PA e le imprese italiane, seppur avvantaggiate dalla presenza di una previgente disciplina in materia piuttosto stringente, sono quelle più a rischio sia per ritardi culturali, che per deficienze infrastrutturali. Proprio per tale motivo risulta di fondamentale importanza per il nostro Paese informarsi ed uniformarsi nel migliore dei modi al nuovo Regolamento.
[1] Disponibile qui: http://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT
[2] Considerando 22, GDPR.
[3] Ex art. 288 TFUE, disponibile qui: http://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:12012E288&from=IT
[4] Maggiori informazioni disponibili qui:
fonte immagine: http://msigbs.com/blog/gdpr/
Laureto in Giurisprudenza presso l’Università Federico II di Napoli nel luglio 2017 con una tesi in Procedura Civile.
Collaboro con Ius in itinere fin dall’inizio (giugno 2016). Dapprima nell’area di Diritto Penale scrivendo principalmente di cybercrime e diritto penale dell’informatica. Poi, nel settembre 2017, sono diventato responsabile dell’area IP & IT e parte attiva del direttivo.
Sono Vice direttore della Rivista, mantenendo sempre il mio ruolo di responsabile dell’area IP & IT. Gestisco inoltre i social media e tutta la parte tecnica del sito.
Nel settembre 2018 ho ottenuto a pieni voti e con lode il titolo di LL.M. in Law of Internet Technology presso l’Università Bocconi.
Da giugno 2018 a giugno 2019 ho lavorato da Google come Legal Trainee.
Attualmente lavoro come Associate Lawyer nello studio legale Hogan Lovells e come Legal Secondee da Google (dal 2019).
Per info o per collaborare: simone.cedrola@iusinitinere.it
Una risposta
[…] Inoltre, l’ambito di applicazione è esteso anche “al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione” qualora il trattamento consista nell’offerta di beni o nella prestazione di servizi agli interessati o nel monitoraggio del loro comportamento all’interno dell’UE. Dove per “stabilimento” deve intendersi “l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile”[2]. […]