La privacy di domani: cosa prevede il nuovo Regolamento Europeo

innovaizone

Il 4 maggio 2016 è stato (finalmente) pubblicato in Gazzetta Ufficiale Europea il Nuovo Regolamento Europeo Privacy, il 2016/679, dopo una gestazione lunga più di quattro anni. E tra meno di due anni e più precisamente entro il 25 maggio 2018 tutti i Titolari dovranno attuare gli adempimenti previsti. Il Regolamento era in bozza dal 25 Gennaio 2012 e già avevamo scritto diversi articoli sull’argomento. Le modifiche e gli emendamenti sono stati nell’ordine delle migliaia e il testo definitivo diverge non poco da quello originale. Tanto che sono sballati tutti i numeri degli articoli. Di seguito cerco di illustrare le regole principali, spesso inaspettate, e che alle volte risultano essere più intense e alle altre meno di quelle della bozza originale.

In generale si nota un tentativo di semplificazione degli adempimenti nel senso di una rinnovata attenzione alle nuove esigenze comunicative verso l’interessato. Si vuole che l’utente, tecnologico o meno, capisca chi, come e perchè tratta i suoi dati. E il titolare per venirgli incontro deve fare di tutto, compreso mostrargli dei disegni. Si osserva dall’altro lato, però, una decisa complicazione degli adempimenti del titolare che vede aumentare gli obblighi di redazione di documenti e procedure a suo carico. Elemento innovativo non può che essere l’applicazione territoriale. Si nota subito infatti che lo strumento Regolamento permette l’obbligatorietà in tutti i Paesi dell’Unione Europea. Inoltre, la disciplina gode anche di extraterritorialità diffusa, in quanto obbligatoria per qualunque titolare svolga un flusso informativo (comprensivo del monitoraggio dei comportamenti) verso gli interessati che si trovino nella Ue.

Quindi non solo i residenti Ue, ma anche nei confronti di cittadini di altri Paesi che si trovino nella Ue. Difficile dunque che i signori Google, Facebook o Twitter che profilano utenti nella Ue, riescano ad inventarsi qualcosa per disapplicare il testo.

Infografica del Consiglio dell’Unione Europea

Rettifica, portabilità, oblio: i diritti dell’interessato

Altro tema sorprendente è quello dei diritti dell’interessato, che essendo stati ampliati e comprendendo ora non solo i classici diritti di informazione e partecipazione, ma anche il diritto di rettifica, di portabilità e di oblio, fornisce una serie di nuovi obblighi procedurali che spingono il titolare ad elaborare un Regolamento Interno dettagliato che lo metta in grado, grazie anche ai suoi responsabili, di rispondere efficacemente a coloro che esercitano tali diritti.

Naturalmente tale impianto sarà più gravoso presso le case editrici, i media, i siti internet, le banche, le Pubbliche Amministrazioni e tutti quei titolari che hanno un rapporto diretto con il consumatore. Ancora è cambiata la responsabilità del titolare che prevedeva in origine una serie di adempimenti atti a mostrare la conformità del trattamento (come la designazione del Data Protection Officer, le misure di sicurezza, la conservazione dei dati, la valutazione di impatto). Ora, invece, l’obbligo dimostrativo della conformità sembra risolversi o con l’adozione di un Codice di Condotta o con un meccanismo di certificazione (si precisa che l’elaborazione di tali documenti deve essere progettata per tempo).

Chi è obbligato a tenere il Registro dei trattamenti

Assolutamente imprevista la trasformazione dell’obbligo di documentazione nella tenuta di un Registro dei trattamenti di cui all’art. 30, che non esisteva come tale nella bozza originaria. La norma tra l’altro è controversa perchè sembra non essere obbligatoria per i titolari che hanno meno di 250 dipendenti. Poi, però, all’ultimo comma si fa rientrare tra i soggetti obbligati quelli che non fanno trattamenti occasionali e quelli che trattano dati particolari (che sono i nuovi dati sensibili) e i giudiziari penali. In sostanza, quindi, quasi tutti i titolari. Non si rilevano novità sul fronte Privacy by Design e Privacy by Default, nel senso che sono nuovi obblighi che fanno capo al titolare, ma che erano previsti fin dalla prima bozza. In base a questi principi il titolare, ancor prima di procedere al trattamento, dovrà progettare nuovi strumenti e servizi (e le relative app) già in un ottica di privacy, sia che si tratti di un nuovo hardware o di un software.

One-Stop-Shop: procedure uniformi in tutti gli Stati membri

Per quel che concerne l’One-Stop-Shop, si rileva che si tratta di un meccanismo nuovo che permetterà alle società operative in più Stati membri di trattare solo con l’Autorità Garante dello Stato in cui ha il proprio stabilimento principale. In questo modo il titolare dovrà svolgere delle procedure uniformi in tutti i Paesi dell’Unione in cui opera, avendo come riferimento la sola Autorità Garante del luogo dello stabilimento principale. Per la valutazione di impatto e verifica preliminare (c.d Privacy Impact Assessment) si deve prevedere prima dell’inizio del trattamento una valutazione dei possibili rischi, stabilendone le misure correttive e le eventuali comunicazioni al Garante. La valutazione va documentata per iscritto, mentre la verifica preliminare va richiesta al Garante solo nei casi in cui il trattamento comporti rischi eccessivamente elevati (si pensi ad esempio ad una videosorveglianza con conservazione delle immagini prolungata nel tempo). Per quel che concerne informative, consenso e notifica, la novità più grande è che ci sarà un largo uso di icone e disegni, stabiliti in maniera uniforme dai Garanti europei. Le Informative dovranno essere più dettagliate, ma soprattutto più efficaci. Il consenso, invece, dovrà essere sempre espresso in modo inequivocabile e non dovrà essere un alibi per tentare di effettuare trattamenti illeciti. Le Notifiche al Garante per comunicare i trattamenti più delicati saranno abolite.

Misure di sicurezza

Sul fronte misure di sicurezza si nota un uso imposto e massiccio di tecniche di pseudoanonimizzazione e cifratura. Inoltre, viene finalmente reintrodotta l’abrogata analisi dei rischi, dalla quale dovranno poi derivare le misure di sicurezza tecniche ed organizzative che ogni titolare dovrà adottare. Non si parla più di misure minime e idonee, ma solo di misure adeguate. Sul Data Protection Officer si è già detto molto. Giova qui notare che tutte le Pubbliche Amministrazioni dovranno designarlo e allo scopo si consiglia di cominciare a pensarci fin da subito. Inoltre, saranno obbligati tutti quei titolari che svolgono trattamenti più delicati o con tecnologie più innovative e/o profilanti (tra questi tutto il mondo delle App, coloro che analizzano Big Data e enti che maneggiano dati particolari e sulla salute). Si ricorda infine che le sanzioni in caso di violazione delle norme del Regolamento saranno più aspre che mai e soprattutto saranno commisurate al fatturato dell’impresa. Le sanzioni pecuniarie potranno raggiungere infatti il 4 per cento del fatturato lordo globale dell’impresa in caso di trattamenti illeciti di particolare gravità. Il consiglio è di cominciare a studiare la complessità dei nuovi adempimenti da adottarsi.

Originariamente pubblicato su chefuturo.it
0 Commenti
Inline Feedbacks
View all comments

What do you think?

Scritto da chef

lifestyle

Caro Gramellini, è criticando gli algoritmi che affonda l’Italia

scienze

Quella lunga notte nella quale rivive Einstein