Regolamento (UE) 2016/679: ecco come cambia la protezione dei dati personali in Europa
Lo scorso 4 maggio, dopo un travagliato periodo di trattative iniziato nel 2012, è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il testo del nuovo Regolamento (UE) 2016/679 sulla protezione dei dati personali, unitamente a quello della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Tale Regolamento ‒ che va a sostituire la vecchia Direttiva 95/46/CE ‒ ridefinisce la disciplina europea in materia di Privacy, introducendo numerosi importanti cambiamenti, a decorrere dal 25 maggio 2018 direttamente e uniformemente applicabili in tutti gli Stati membri dell’Unione; ciò di per sé costituisce già un’importante novità.
Di seguito una breve sintesi delle modifiche più significative introdotte.
L’ambito di applicazione della disciplina europea in materia di Privacy viene esteso: infatti, ogniqualvolta vi sia trattamento di dati personali di soggetti stabiliti nell’Unione Europea da parte di un soggetto stabilito al di fuori della stessa, al fine di offrire loro beni e/o servizi ovvero di monitorarne il comportamento, dovranno necessariamente essere applicate le prescrizioni del nuovo Regolamento. Tale innovazione interesserà in particolar modo gli Internet service provider esteri: questi, infatti, non potranno sottrarsi all’applicazione della normativa europea in materia di privacy (si pensi, ad esempio, alle norme in materia di validità del consenso raccolto) invocando l’assenza di un proprio stabilimento nel territorio UE.
I requisiti formali richiesti per la validità del consenso al trattamento dei dati personali da parte degli interessati diventano più rigorosi: in particolare, è previsto che tale consenso sia valido solo quando sia stato reso attraverso un atto positivo inequivocabile, rimanendo quindi esclusa la possibilità di presumerlo dall’inattività, dal silenzio dell’interessato o dalla preselezione di caselle. In tal senso, la normativa europea si allinea alla disciplina italiana in materia di consenso al trattamento, da sempre tra le più rigorose. Il consenso al trattamento così reso potrà inoltre essere sempre revocato, senza limiti di sorta, da parte degli interessati.
Vengono espressamente previsti sia il diritto all’oblio (ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento), che il diritto alla portabilità degli stessi da un titolare del trattamento ad un altro su richiesta degli interessati.
Viene poi introdotto il concetto della protezione dei dati personali “by design” e “by default”, ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso e per il tempo necessario alla realizzazione delle stesse.
In capo ai titolari del trattamento vengono altresì previsti l’obbligo di compiere una “valutazione d’impatto” iniziale per i trattamenti di dati più delicati e l’obbligo di tenere un registro delle attività relative al trattamento stesso.
I titolari del trattamento sono, inoltre, soggetti ad un obbligo di notifica di eventuali violazioni di dati personali di cui siano venuti a conoscenza verso i Garanti nazionali e/o gli interessati.
Per gli enti pubblici e gli enti privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui, viene introdotta la figura del c.d. Data protection officer: un soggetto, dipendente o professionista esterno all’ente, esperto di normativa e prassi in materia di privacy, con il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal Regolamento stesso, di vigilare sul loro effettivo adempimento, di fornire le sopracitate valutazioni d’impatto sulla protezione dei dati raccolti e di interfacciarsi, da un lato, con gli interessati, dall’altro, direttamente con il Garante.
Viene introdotta la possibilità per i titolari e per i responsabili del trattamento di ottenere da parte di organismi certificatori accreditati ovvero da parte dell’autorità di controllo competente una certificazione riguardante la conformità del trattamento alla normativa prevista dal Regolamento.
Infine, il regime sanzionatorio subisce un sensibile inasprimento: nel caso di violazioni delle norme previste dal Regolamento, infatti, sono previste sanzioni pecuniarie fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo.