Di Marco Maglio – Avvocato, Lucerna Iuris International Legal Network – Studio Legale Maglio & Partners (avv.maglio@tin.it)
Sono passati circa 3 anni da quando la Commissione europea ha presentato l’ambizioso piano di revisione del sistema di protezione dati attraverso la General Data Protection Regulation. Da allora, con l’elezione di un nuovo Parlamento europeo e di una nuova Commissione, qualcuno potrebbe dire che il mancato completamento degli obiettivi fissati allora era inevitabile. In ogni caso, nel marzo 2014, la riforma ha compiuto un passo avanti significativo con l’approvazione del testo modificato da parte del Parlamento europeo.
La strada è ancora lunga, ma molte cose hanno iniziato a prendere forma e alcune di queste suonano come un campanello d’allarme per molte aziende. Per adeguarsi alla nuova riforma servono infatti maggiori accorgimenti rispetto al passato e le sanzioni per il mancato adeguamento sono decisamente più alte.
Ma su cosa, in concreto, le aziende devono focalizzarsi per adeguarsi alle nuove norme? In assenza della sfera di cristallo, ricapitoliamo insieme i principali punti della riforma, le novità rispetto al passato e i consigli pratici per le aziende.
1) Sanzioni e applicazioni
Con multe più alte del 5%, la nuova riforma adegua le sanzioni riguardanti la protezione dati ai livelli dell’anti-trust e dell’anti-corruzione. Per evitare multe salate meglio perciò per le aziende adeguarsi entro il 2017.
2) Diffusione territoriale
La riforma estenderà la legislazione europea anche alla Silicon Valley e oltre. Le compagnie extra UE dovranno inoltre avere un proprio rappresentante nell’Unione Europea.
3) Ambito dei dati personali
La definizione di dati personali si allarga, includendo molte più informazioni. I cambiamenti hanno l’obiettivo di adeguare la legislazione riguardante il mondo dell’online alla rapida evoluzione delle tecnologie.
4) Regolamentazione dei processi
Le condizioni che le aziende dovranno rispettare per la raccolta dati e il loro successivo utilizzo saranno ancora più stringenti rispetto ad ora. Agli stati membri sarà inoltre permesso di superare le legislazioni nazionali per la regolamentazione di alcuni settori come lavoro, salute e giornalismo.
5) Data protection officers
È ancora in corso un lungo dibattito sul fatto se le aziende siano obbligate ad introdurre un data protection officer (DPO) e quindi incorrere a significative spese oppure se l’approccio “non obbligatorio” in vigore adesso possa continuare.
6) Notifica delle infrazioni
L’introduzione della notifica dell’infrazione dei dati sembra essere sicura, sebbene importanti questioni rimangano aperte. In particolare non è chiaro quanto debbano essere rigide le infrazioni affinché vengano notificate e con quali tempistiche.
7) Processi e notifica delle attività
L’obbligo di notifica del tipo di attività svolta con i dati personali sarà rafforzato sia per gli utenti sia per i fornitori. Le parti dovranno documentare la propria responsabilità riguardanti i dati ancora più chiaramente di adesso e l’aumento del livello di rischio modificherà gli accordi dal punto di vista della sicurezza, della quota di rischio e del prezzo.
8) Profilazione
L’ambito della profilazione rimane oggetto di un acceso dibattito. Il risultato di queste discussioni sarà decisivo per pubblicitari, assicuratori, datori di lavoro e di tutti quei settori che fanno affidamento sulla possibilità di profilare gli utenti.
9) Trasferimento dei dati
L’introduzione del diritto al trasferimento dei dati non sembra ancora strutturato, ad ogni modo c’è in atto un’ampia discussione in merito a come metterlo in pratica e se, per questo ambito, non sarebbe meglio parlare di proprietà intellettuale anziché di protezione dati.
10) Diritto all’oblio
La materia del diritto alla cancellazione dei propri dati (conosciuta come diritto all’oblio) sarà una parte centrale dell’articolo 17 della riforma. Tuttavia questi diritti non saranno assoluti perchè alcuni diritti riguardanti la protezione dati potrebbero entrare in conflitto, ad esempio, con il diritto alla libertà d’espressione.
11) Trasferimenti internazionali
Se da un lato la nuova riforma si basa sulla struttura attuale con il rispetto dei principi generali dei trasferimenti internazionali, le regole sono state estese anche ai processi e ai trasferimenti di dati personali a paesi terzi o a organizzazioni internazionali.
12) Rispetto della privacy
I responsabili del trattamento devono implementare tecniche e procedure appropiate per assicurarsi che i processi salvaguardino i diritti per la protezione dati e che si utilizzino solo i dati personali strettamente necessari per ogni specifico uso.