Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. La normativa abroga, inoltre, la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) da cui era disceso il D.Lgs. 196/2003.
Si tratta di una svolta decisiva nel mondo della privacy, che si stava attendendo ormai da diversi anni.
Che cos’è cambiato dalla bozza iniziale?
Rispetto alla proposta originaria del gennaio 2012, sono stati mantenuti dei punti cardine, come il diritto all’oblio e alla portabilità dei dati, le notifiche di violazione agli utenti e alle autorità nazionali e le modalità di accesso ai propri dati personali semplificate, ma sono state anche introdotte delle novità.
Le nuove regole vogliono adattare la legislazione UE (in vigore da 19 anni) alle numerose tecnologie esistenti e all’uso sempre più disparato che si fa di internet, andando dunque ad intensificare la sicurezza dei dati online e ad utilizzare un linguaggio chiaro nelle regole relative alla privacy.
Vuoi sapere quali sono gli adempimenti previsti dalla nuova normativa europea sulla privacy?
Clicca qui e scarica gratuitamente la nostra checklist!
La nuova normativa privacy
La nuova normativa privacy si differenzia da quella vigente per:
- ambito di applicazione territoriale
- nuovi obblighi e responsabilità
- nuove figure soggettive
- diritti dell’interessato
- sanzioni
1) Ambito di applicazione territoriale
La norma attuale prevede l’ambito di applicazione territoriale ai titolari del trattamento residenti nell’Unione Europea. Mentre la nuova normativa modifica la concezione tradizionale del principio di stabilimento ed estende l’ambito di applicazione anche a titolari e responsabili di trattamento non residenti nell’UE. La tutela viene applicata a tutti gli interessati che si trovano nell’UE a prescindere dalla sede del titolare.
2) Nuovi obblighi e responsabilità
Il nuovo Regolamento ridefinisce le figure di Titolare e Responsabile attribuendo loro ulteriori obblighi rispetto a quanto previsto dall’attuale Codice in materia di Protezione dei dati personali .
2.1 Accresciuti obblighi di trasparenza (artt. 5 e 12)
Viene dedicata una sezione al concetto di “Trasparenza” e si richiede che le informazioni all’interessato:
- siano rese con un linguaggio semplice e chiaro
- abbiano sempre forma scritta
- prevedano il periodo di conservazione dei dati personali, il diritto di proporre reclamo ad un’autorità di controllo, l’intenzione del titolare di trasferire dati personali ad un paese terzo.
2.2 Privacy by design e by default (art. 25)
- La privacy by design richiede che il titolare adotti e attui misure tecniche e organizzative sin dal momento della progettazione oltre che nell’esecuzione del trattamento, i quali tutelano i principi di protezione dei dati.
- La privacy by default presuppone, nella modalità operativa del trattamento, misure e tecniche che garantiscano l’utilizzo dei soli dati personali necessari per ciascuna specifica finalità di trattamento.
2.3 Registri delle attività di trattamento (art. 30)
Ogni titolare deve tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro deve essere costantemente aggiornato
2.4 Data breach (artt. 33 e 34)
I titolari hanno l’obbligo di comunicare l’avvenuta violazione di dati personali al Garante per la protezione dei dati personali e, in alcuni casi, al contraente.
3) Nuove figure soggettive
La nuova normativa privacy individua ulteriori figure rispetto al codice privacy:
- Responsabile della protezione dati (DPO)
- Comitato europeo per la protezione dei dati
4) Diritti dell’interessato
La normativa privacy prevede nuovi diritti riguardanti la persona fisica:
4.1 Diritto all’oblio (art. 17)
La norma vigente lo definisce come il diritto dell’individuo ad essere dimenticato dalle banche dati, dai mezzi di informazioni o dai motori di ricerca.
Il nuovo Regolamento attua il riconoscimento su base legislativa (ora è solo un’elaborazione giurisprudenziale) e, in particolare, l’interessato ha diritto di richiedere che i suoi dati personali siano cancellati e non più sottoposti a trattamento.
4.2 Portabilità dei dati (art. 20)
L’interessato ha il diritto di:
- ricevere i dati che lo riguardano
- trasmettere i propri dati da un titolare ad un altro, senza impedimenti da parte di colui al quale sono stati forniti in precedenza.
5) Sanzioni
Il trattamento sanzionatorio viene uniformato e inasprito in tutti gli Stati membri dell’Unione Europea.
5.1 Sanzioni amministrative (art. 83)
Il nuovo Regolamento prevede che l’autorità di controllo abbia il potere di imporre sanzioni amministrative per un importo pecuniario massimo predeterminato, tenendo conto di determinati indici:
- la natura, la gravità e la durata della violazione
- il carattere doloso o colposo della violazione
- le misure adottate dal titolare
La violazione delle disposizioni normative comporta una sanzione pecuniaria fino a 10.000.000 euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente. Sanzione che in alcuni casi può arrivare fino a 20.000.000 euro, o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
5.2 Altre sanzioni (art. 84)
Il nuovo Regolamento prevede che saranno gli Stati membri a stabilire le norme relative alle altre sanzioni assicurandone la proporzionalità e l’efficacia dissuasiva.