POLITICA SULL'UTILIZZO DEI COOKIE - GIUFFRE' FRANCIS LEFEBVRE SPA

Questo sito utilizza cookie di profilazione di prima parte per offrirti un miglior servizio e per trasmetterti comunicazioni in linea con le attività svolte durante la navigazione. Puoi impedire l'utilizzo di tutti i Cookie del sito cliccando MAGGIORI INFORMAZIONI oppure puoi acconsentire all'archiviazione di tutti quelli previsti dal sito cliccando su ACCONSENTI.

Continuando la navigazione del sito l'utente acconsente in ogni caso all'archiviazione degli stessi.


> Maggiori informazioni

Acconsenti

Abbonamento scaduto
Abbonamento inattivo
Numero massimo utenti raggiunto
Utente non in CRM
Manutenzione
domenica 11 aprile 2021
Accedi   |   Contatti   |   Newsletter   |   Abbonamenti    Feed RSS
Notizie a cura di La Stampa.it |
AMMINISTRATIVO

privacy  | 18 Aprile 2016

Il nuovo regolamento europeo in materia di protezione dei dati personali

Regole comuni per imprese, pa e professionisti per lo sviluppo del mercato unico digitale

di Mauro Alovisio - Avvocato

  Il Parlamento europeo ha approvato il regolamento in materia di protezione dei dati personali che introduce nuovi principi e istituti, un rafforzamento dei diritti privacy dei cittadini, consumatori, minori e semplificazioni di alcuni oneri per le multinazionali e le piccole e medie imprese.

 

Approvato il regolamento europeo in materia di protezione dei dati personali. Il Parlamento europeo ha approvato in via definitiva, dopo un lungo ed intenso iter, il regolamento europeo in materia di protezione dei dati personali. Il testo in esame direttamente applicabile nei paesi membri senza bisogno di un atto interno di recepimento sostituisce la precedente direttiva (95/46/CE) in materia di privacy adottata nel 1995 quando Internet era ancora agli albori e non esistevano ancora social network, droni, smartphone e internet banking.
Il provvedimento in esame entrerà in vigore venti giorni dopo la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea; le disposizioni in esso contenute saranno direttamente applicabili in tutti gli stati membri due anni dopo tale data.
Nei sopra citati due anni si applicherà ancora l’attuale Codice della privacy (d.lgs. n. 196/2003).
Le disposizioni del regolamento si applicano a tutti gli operatori che offrono servizi (anche on line) ai cittadini europei anche se non hanno uno stabilimento in Europa.

Al centro i diritti dei cittadini sui propri dati. Il testo in esame mette al centro del sistema i diritti dei cittadini sui propri dati e introduce il principio di portabilità dei dati (dati take away): i cittadini hanno il diritto di acquisire e riprendersi i dati personali trasmessi ad un’impresa e trasmetterli ad altri operatori (es. social network, fornitori di servizi internet) senza impedimenti da parte del titolare del trattamento cui li ha forniti.
Il testo rafforza il principio della trasparenza: i cittadini devono essere informati in modo semplice e chiaro sulle finalità, modalità, ambito del trattamento e identità del titolare e devono potere esercitare i diritti sui propri dati con maggiore facilità rispetto ad oggi al fine di potere esprimere un consenso informato e chiaro. Il cittadino potrà rivolgersi nel caso di violazioni i dati all’Autorità di protezione del proprio paese qualunque sia il luogo in cui il trattamento dei dati sia effettuato.
Il testo approfondisce anche il delicato profilo della protezione dei minori e prevede che i servizi online devono ottenere il consenso dei genitori prima di registrare i minori con meno di 16 anni, salvo che le leggi nazionali non prevedano limiti più bassi.
Viene introdotto il diritto all’oblio, la possibilità, in alcuni casi specifici, di richiedere, per motivi legittimi, la cancellazione dei propri dati dai siti web e dalle indicizzazioni dei motori di ricerca.
Viene introdotto il diritto di venire a conoscenza delle violazioni dei propri dati personali (“data breach”, notificazione di una violazione di dati).

Gli obblighi di imprese e pa. Il regolamento introduce per le imprese e le pubbliche amministrazioni l’obbligo di valutazione preliminare di impatto sulla tutela dei dati (“privacy impact assessment”), con una puntuale analisi dei rischi con particolare attenzione ai profili della gravità e probabilità dell’evento.
Le imprese, le pubbliche amministrazioni dovranno comunicare agli interessati le violazioni dei dati personali (data breach notification) entro le 72 ore, obbligo previsto attualmente solo in alcuni settori (telecomunicazioni, bancario e sanitario). Il testo introduce l’obbligo delle imprese e delle pa, di rispettare, nella progettazione di nuovi prodotti o servizi, i principi di “data protection by design” e di “data protection by default”: occorre che i titolari del trattamento garantiscano la protezione dei dati personali dalle prime fasi di progettazione e sviluppo dei prodotti e dei servizi.
Il testo introduce anche il “principio di accountability”: le imprese, le pubbliche amministrazioni titolari del trattamento devono dimostrare di avere adottato le misure di sicurezza adeguate ed efficaci a protezione dei dati e che le proprie attività e trattamenti sono la conformi con il regolamento europeo, compresa l’efficacia delle misure. Al fine di poter dimostrare la conformità alle disposizioni del regolamento, viene previsto l’obbligo del titolare o del responsabile di tenuta di registro delle attività di trattamento effettuate sotto la propria responsabilità con relativa descrizione delle misure di sicurezza, (si tratta di una adempimento più rigoroso e puntuale, rispetto al precedente obbligo di adozione del Documento programmatico per la sicurezza (DPS)adempimento abrogato dal Decreto Monti).
La tenuta del registro non è richiesta per le imprese con meno di 250 dipendenti, a meno che il trattamento dei dati effettuato dalle stesse possa comportare un rischio specifico per i diritti e le libertà dell’interessato.
Il regolamento prevede l’obbligo per le pubbliche amministrazioni di nominare un data protection officer (responsabile della protezione dei dati personali): per il settore privato (le imprese), è introdotta tale figura solo in alcuni casi (presenza di monitoraggio regolare e sistematico dei dati personali su larga scala, trattamento su larga scala di dati sensibili oppure giudiziari). Il data protection officer dovrà avere specifici requisiti: competenza, esperienza, indipendenza e autonomia di risorse, assenza di conflitti di interesse e dovrà presidiare i profili privacy organizzativi attraverso un’opera di sorveglianza sulla corretta applicazione della normativa privacy e sulla normativa interna, sull’attribuzione delle responsabilità, sensibilizzazione e formazione del personale. Il data protection officer dovrà fornire pareri e sarà il file rouge (punto di contatto) dell’organizzazione con il Garante per la protezione dei dati personali. Il data protection officer potrà essere sia interno che esterno all’ente.
Il regolamento introduce un prezioso elemento di semplificazione per le multinazionali: lo sportello unico (One-stop-Shop) che consente alle imprese con diversi stabilimenti in Europa di stabilire lo “stabilimento principale” e di dialogare con una sola Autorità garante nazionale (a differenza di oggi dove le imprese multinazionali sono costrette a dialogare con ogni autorità Garante dei paesi dove ci sono stabilimenti di impresa).
Il testo prevede inoltre, in coerenza con i principi dell’analisi economica del diritto, un inasprimento delle sanzioni amministrativo a carico di imprese e pubbliche amministrazioni nel caso di violazioni dei principi e disposizioni del regolamento: in casi particolari possono arrivare fino a 10 milioni di euro o per le imprese fino al  2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Un quadro uniforme di regole per il mercato unico digitale europeo. Il nuovo regolamento è un punto di partenza importante in quanto è un tentativo prezioso di definire un quadro uniforme di regole per il mercato unico digitale europeo (“One Continent, One Law”) anche nell’ottica della possibile ripresa economica del continente. Il regolamento cerca di semplificare, per quanto possibile, alcuni adempimenti a carico delle imprese (es. obbligo di notificazione preliminare al Garante privacy di alcuni specifici trattamenti è stato abrogato). L’Europa avrà, attraverso il testo del regolamento, un livello uniforme ed elevato di protezione dei dati personali dei cittadini al fine di rafforzare la fiducia, la certezza legale e la concorrenza.
La protezione dei dati personali relegata negli ultimi anni a mero adempimento tecnico e burocratico diventa, grazie al regolamento europeo, un asse strategico di imprese e pubbliche amministrazioni che devono definire quanto prima una road map interna per una nuova compliance aziendale in materia di protezione dati personali e sicurezza delle informazioni e pianificare incontri informativi e formativi al proprio interno per tutto il personale e collaboratori.