Logo adSalsa

privacy riforma UEDi Marco Maglio – Avvocato, Lucerna Iuris International Legal Network – Studio Legale Maglio & Partners (avv.maglio@tin.it)

Più chiarezza per gli utenti, regole più restrittive per le multinazionali della Silicon Valley e per tutte le aziende che trattano dati personali, norme comuni per gli Stati dell’Unione europea e introduzione del Data Privacy Officer. Bastano questi pochi aspetti per descrivere l’importanza della riforma UE della normativa su privacy e trattamento dei dati personali che, previa approvazione del Parlamento Europeo, entrerà in vigore quest’anno e sarà applicabile dalla primavera del 2018.

La riforma sostituisce la normativa attuale che risale al 1995 (Direttiva 95/46/CE) e servirà da testo unico applicabile in tutti i 28 Paesi dell’Unione europea. Un cambio di prospettiva totale rispetto alla situazione odierna e che si adegua ai cambiamenti introdotti da internet e dalle nuove tecnologie.

Vediamo nel dettaglio i punti fondamentali della riforma.

1. Un’unica normativa per tutti, anche per Google e Facebook
Una delle novità fondamentali è il carattere di universalità che assume la normativa. Il regolamento infatti si applicherà anche alle aziende extraeuropee che trattano o monitorano dati personali di cittadini europei. Se fino ad oggi i giganti dell’hi-tech come Google, Facebook e Microsoft hanno potuto gestire i dati personali dei propri utenti basandosi sulla legge statunitense, con la nuova riforma saranno invece soggetti alla normativa europea anche se il trattamento avviene al di fuori della UE.

La normativa prevede inoltre un adeguamento e un’unificazione delle varie legge nazionali. Ci sarà infatti l’obbligo per gli Stati membri di istituire un’autorità di controllo indipendente (come avviene già in Italia con il Garante per la protezione dei dati personali) e si prevede l’introduzione di un Comitato europeo per la protezione dei dati che riunirà in un unico organismo i rappresentanti di tutte le autorità nazionali. Per quanto riguarda le società con sedi dislocate in diversi Paesi, si dovrà fare riferimento solo all’autorità dello Stato nel quale si ha lo stabilimento principale.

2. Più chiarezza e tutele per gli utenti
Uno degli obiettivi fondamentali della riforma è quello di tutelare maggiormente gli utenti da un uso non informato dei propri dati personali. Nella normativa si ribadisce con forza la necessità di un chiaro consenso dell’interessato al trattamento dei dati personali e il diritto di opposizione all’uso dei propri dati ai fini di profilazione. Una parte importante è inoltre riservata alla possibilità dell’interessato di richiedere e ottenere, in modo semplice e gratuito, l’accesso ai propri dati personali, alla loro modifica o cancellazione.

Per raggiungere questo obiettivo la normativa impone che l’informativa si resa all’utente in modo accessibile e trasparente, che sia scritta con un linguaggio semplice e chiaro, e che riporti l’origine dei dati trattati, il tempo di conservazione e le finalità del trattamento.

3. Maggiori obblighi per le aziende
Logica conseguenza delle maggiori tutele per gli utenti sono l’aumento degli obblighi da parte delle aziende. Diventa di fatto obbligatorio organizzare un sistema documentale per raccogliere tutte le informazioni relative al trattamento dei dati e viene introdotto il PIA, Privacy Impact Assessmente, cioè il documento di valutazione d’impatto nel trattamento dati. A differenza del DPS, non più obbligatorio dal 2012, nel nuovo documento dovrà essere presente una vera e propria analisi dei rischi potenziali legati al trattamento dati, da effettuare già nelle fasi di progettazione del sistema informatico per la gestione dei dati. Nel PIA dovranno inoltre essere indicate tutte le criticità possibili nel trattamento e l’eventuale programma d’intervento da attuare in caso di problemi.

Una delle novità più importanti è senza dubbio anche l’introduzione del Data Privacy Officer (o responsabile della protezione dei dati personali). La nuova figura sarà obbligatoria per le aziende pubbliche e in generale per tutte le società che trattano sistematicamente dati sensibili o una rilevante mole di dati personali. I compiti principali del Data Privacy Officer saranno quelli di informare il titolare del trattamento sull’applicazione del regolamento europeo, vigilare e verificare la sua corretta attuazione, garantire la conservazione della documentazione relativa al trattamento dati e controllare che le violazioni siano documentate e notificate.

Tra i nuovi aspetti del regolamento europeo c’è infatti l’obbligo di autodenunciarsi in caso di distruzione, perdita, modifica o, in generale, di violazione dei dati personali, comunicando l’accaduto sia all’autorità competente che al diretto interessato. Anche le sanzioni vengono inasprite, arrivando fino a 20 milioni di euro per i privati e le imprese che non fanno parte di gruppi societari e fino al 4% del fatturato complessivo per i gruppi societari.

4. Meno burocrazia e consenso “desumibile”
Non di soli obblighi è composta la nuova normativa. Tra le novità positive per le aziende c’è la riduzione della burocrazia, con l’abolizione dell’obbligo di notifica al Garante di alcune tipologie di trattamento, e la possibilità di “desumere” il consenso. Entro certi limiti, infatti, si fanno spazio a forme di consenso dedotte mediante azioni positive da parte dell’interessato come, ad esempio, la consegna di un proprio biglietto da visita ad una fiera (l’utente deve comunque essere espressamente informato che il suo indirizzo email sarà utilizzato per inviare comunicazioni commerciali).