La normativa UE in materia di protezione dei dati

  • Lunedì, 02 Aprile 2012
La normativa UE in materia di protezione dei dati
di avv. Graziano Garrisi - Digital & Law Department

Grandi novità in vista in materia di privacy e protezione dei dati personali. Mentre a livello nazionale il Governo italiano si affanna a semplificare e modificare il Codice Privacy del 2003 (come è avvenuto con la recente soppressione del DPS o le semplificazioni che di fatto non semplificano), a livello comunitario si discute già sul nuovo testo che andrà a modificare, unificare e coordinare la normativa sul corretto trattamento dei dati personali in tutti gli stati membri dell'Unione Europea.
Il 25 gennaio u.s., infatti, la Commissione europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di protezione dei dati: si tratta, in particolare, di un Regolamento che andrà a sostituire la vecchia Direttiva 95/46/CE e di una nuova Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia.
Nel primo caso, la scelta del Regolamento avrà sicuramente un impatto molto forte all'interno degli Stati membri, perché sarà direttamente applicabile (c.d. self-executing) non necessitando di alcun recepimento a livello nazionale, così come è avvenuto in passato (comportando inevitabili problemi di interpretazione e applicazione univoca della normativa).
Qui di seguito una sintesi delle maggiori novità contenute nel
Regolamento:
- restano ferme le definizioni fondamentali, ma con alcune significative aggiunte (dato genetico, dato biometrico);
- viene introdotto il principio dell'applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell'UE, se relativi all'offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;
- si stabilisce il diritto degli interessati alla "portabilità del dato" (ad es. nel caso in cui si intendesse trasferire i propri dati da un social network a un altro), ma anche il "diritto all'oblio", ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo on-line) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l'esercizio della libertà di espressione, per consentire la ricerca storica);
- scompare l'obbligo per i titolari di notificare i trattamenti di dati personali, sostituito da quello di nominare un data protection officer (incaricato della protezione dati, secondo la terminologia della direttiva 95/46) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti (occorre sottolineare al riguardo la lungimiranza di molte aziende pubbliche o private virtuose che hanno già previsto al loro interno tale figura per gestire e coordinare al meglio tutti gli adempimenti e le scadenze che la normativa prevede in capo al titolare del trattamento);
- viene introdotto il requisito del privacy impact assessment (ovvero si procederà con la valutazione dell'impatto privacy - che prima era contenuta nel DPS - attraverso l'analisi dei rischi che giustificava la conseguente adozione delle misure di sicurezza) oltre al principio generale detto privacy by design (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software);
- si stabilisce l'obbligo per tutti i titolari di notificare all'Autorità competente le violazioni dei dati personali (personal data brache);
- si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.
Verranno stabilite anche regole in ambito marketing e sull'utilizzo dei cookies e, sotto il profilo delle responsabilità, non dovrà più essere il cittadino a dimostrare l'illiceità di un trattamento, ma sarà onere del titolare dimostrare di aver adottato le misure necessarie.
Per concludere questa disamina circa le novità si ricorda, altresì, l'obbligatorietà per il titolare di acquisire il consenso all'utilizzo dei dati dell'interessato (che dovrà essere esplicito) e il dovere di comunicare entro 24 ore eventuali attacchi hacker subìti sui propri sistemi informatici (ciò al fine di prevenire la perdita dei dati).
Siamo in presenza, quindi, di una vera e propria rivoluzione, la cui conseguenza principale dopo l'entrata in vigore di questo Regolamento sarà che molte delle attuali norme previste all'interno del Codice Privacy non saranno più applicabili, dovendo considerarsi superate in favore di una normativa chiara, uniforme e valida in tutta l'Unione Europea. Ma non solo: chissà se l'introduzione del data protection officer non porterà alla creazione di una nuova figura professionale che, dotata di specifiche e certificate competenze, guiderà le pubbliche amministrazioni e le imprese verso una migliore gestione dei dati e della riservatezza altrui.
Prepariamoci, quindi, a salutare il vecchio Codice Privacy e a recepire la nuova ventata di novità, limitando gli inevitabili sconvolgimenti organizzativi che le varie policy interne subiranno nei prossimi anni.


D&L Communication è segreteria organizzativa delle Associazioni:

CONTATTI

D&L Department - Studio Legale Lisi
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65 

segreteria@studiolegalelisi.it 

Digital & Law Department S.r.l.
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65

P.IVA: 04372810756 - info@digitalaw.it - digitalaw@pec.it 

Studio Legale Lisi
Via V. M. Stampacchia, 21 - Piano Terra - 73100 Lecce - Tel /Fax: +39.0832.24.48.02 

info@studiolegalelisi.it 

Segreteria di Milano
Piazza IV Novembre, 4 - 20124 - Milano - Tel 02.671658188 Fax 02.67165266

Domicilio a Roma