04 Mag IL “PACCHETTO PROTEZIONE DATI” E I NUOVI ADEMPIMENTI IN MATERIA DI DATA PROTECTION
Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) il testo del Regolamento europeo 679/2016 in materia di protezione dei dati personali. Il nuovo Regolamento, anche conosciuto come General Data Protection Regulation (GDPR), compone, insieme alla Direttiva (UE) 2016/680, il c.d. “pacchetto protezione dati”, con il quale il legislatore comunitario ha inteso garantire una maggiore coerenza e armonizzazione degli ordinamenti interni all’Unione europea in materia di protezione dei dati personali.
In particolare, il Regolamento, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abroga la direttiva 95/46/CE, da una parte riprendendone i contenuti essenziali, dall’altra introducendo importanti elementi di novità. Gli Stati membri hanno a disposizione due anni per adeguare il proprio ordinamento interno; in mancanza, il Regolamento spiegherà ugualmente la propria efficacia, divenendo direttamente applicabile all’interno degli Stati membri a partire dal 25 maggio 2018.
La Direttiva 2016/680, invece, concerne la protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. La direttiva andrà a sostituire la decisione quadro 977/2008/CE e dovrà essere recepita dagli Stati membri entro due anni dalla sua entrata in vigore, avvenuta il 5 maggio 2016.
Il Regolamento (UE) 679/2016. I principi: la trasparenza nelle comunicazioni e la privacy “by design” e “by default”
Il Regolamento mira, in prima battuta, a garantire maggiormente le persone fisiche interessate dal trattamento dei dati personali; d’altra parte, a tali maggiori garanzie corrisponderanno maggiori oneri e responsabilità in capo ai titolari del trattamento.
Per la prima volta, il Regolamento enuclea espressamente un “principio di trasparenza”, in base al quale le informazioni e comunicazioni relative alla raccolta dei dati personali e ai diritti esercitabili dall’interessato dovranno essere a questo indirizzate “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.
Sempre con riferimento ai principi posti dal legislatore, in via generale, a protezione dei dati personali, occorre menzionare i cc.dd. principi della “privacy by design” e della “privacy by default”, in ragione dei quali, da una parte, il titolare avrà l’obbligo di mettere in atto misure tecniche ed organizzative adeguate già dalla fase di determinazione dei mezzi del trattamento; dall’altra, di predisporre misure idonee a garantire che siano trattati, “per impostazione predefinita”, solo i dati personali necessari per ogni specifica finalità del trattamento.
I nuovi diritti a garanzia degli interessati. Il diritto all’oblio
Per quanto riguarda, invece, i diritti esercitabili dall’interessato, rappresentano una novità assoluta il diritto alla cancellazione, significativamente rinominato “diritto all’oblio”, e il diritto alla portabilità dei dati personali.
- Con il diritto all’oblio si sancisce la possibilità di ottenere la cancellazione dei propri dati personali trattati da un titolare. Tale diritto potrà essere esercitato se i dati sono trattati sulla base del solo consenso dell’interessato, o
- se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, o
- se i dati sono trattati illecitamente, oppure,
- se l’interessato si oppone legittimamente al loro trattamento.
In tali ipotesi, qualora i dati siano stati resi pubblici dal titolare del trattamento, quest’ultimo avrà non solo l’obbligo di cancellarli, ma anche quello di comunicare la richiesta di cancellazione a chiunque altro stia trattando tali dati. Tuttavia, tale obbligo incontra il limite della ragionevolezza, in relazione alla tecnologia disponibile e ai costi di attuazione, dal momento che le tecnologie attualmente disponibili (prima fra tutte, internet) possono consentire una diffusione delle informazioni di portata tale da rendere oltremodo gravoso, quando non impossibile, rintracciare tutti i titolari del trattamento e parteciparli della richiesta dell’interessato.
Il diritto alla portabilità dei dati
Il diritto alla portabilità dei dati garantisce all’interessato la possibilità di trasferire i propri dati personali, già raccolti e trattati da un titolare, ad altro soggetto, ovvero di ottenere il trasferimento diretto dei dati da un titolare del trattamento ad un altro, con conseguente obbligo da parte del precedente titolare, da una parte, di non opporsi al trasferimento eseguito dall’interessato o, dall’altra, su richiesta di quest’ultimo, di eseguire personalmente il trasferimento verso il soggetto indicato dall’interessato.
I nuovi obblighi previsti per i titolari: la designazione del Data Protection Officer
Una delle novità di maggior rilievo, in particolar modo per le imprese, è rappresentata dall’introduzione dell’innovativa figura del Responsabile della protezione dei dati personali (c.d. Data Protection Officier, DPO). La designazione del DPO è obbligatoria solo per le categorie di titolari indicati all’art. 37 del Regolamento, ovvero per le autorità pubbliche e gli organismi pubblici che effettuano un trattamento dei dati personali e per i titolari o responsabili del trattamento che svolgono, quale attività principale, trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o trattamenti su larga scala di particolari categorie di dati (ad esempio, quelli relativi a condanne penali e reati o i dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale della persona). Naturalmente, la nomina del DPO resta facoltativa per i soggetti non rientranti nelle categorie sopra elencate, essendo anzi raccomandata in tutti quei casi in cui l’applicabilità della disciplina in esame ad una fattispecie concreta è incerta.
Il DPO, nelle intenzioni del legislatore comunitario, dovrà rappresentare, in ciascuna azienda in cui è nominato, il punto di riferimento principe in materia di protezione dei dati personali. Difatti, da un lato dovrà essere tempestivamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, essendo gravato della sorveglianza della corretta applicazione del Regolamento in azienda; dall’altra, il DPO fornirà consulenza al titolare, al responsabile e agli incaricati del trattamento e dovrà fungere da punto di contatto con l’autorità di controllo.
I registri delle attività di trattamento
Il nuovo Regolamento prevede, poi, l’obbligo per i titolari di tenere un registro delle attività di trattamento svolte, che dovrà contenere, tra le altre informazioni, una descrizione delle finalità del trattamento, delle categorie di dati personali trattati e delle misure di sicurezza tecniche e organizzative adottate. Oltre alla tenuta di tale registro, è previsto che ogni responsabile del trattamento indichi, in apposito registro, le categorie dei trattamenti effettuati per conto di ogni titolare. Gli obblighi ora menzionati trovano sempre applicazione con riferimento alle imprese che occupano almeno 250 dipendenti; per le imprese che non raggiungono tale requisito dimensionale, la tenuta dei registri è obbligatoria solo qualora il trattamento da esse effettuato possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale o abbia ad oggetto particolari categorie di dati.
Data breach: le comunicazioni delle violazioni dei dati
Tra i nuovi adempimenti rimessi alla cura del titolare del trattamento, il Regolamento prevede anche degli obblighi informativi in caso di violazione dei dati personali (c.d. data breach). Più precisamente, il titolare dovrà comunicare all’autorità di controllo la violazione dei dati senza ritardo e, laddove possibile, entro 72 ore dalla sua verificazione o dalla sua scoperta. Il titolare può omettere tale notifica solo se ritiene improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Inoltre, se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà dell’interessato, dovrà essere comunicata anche a quest’ultimo.
I rischi delle operazioni di trattamento: la valutazione d’impatto
Infine, il Regolamento contempla l’ulteriore obbligo – posto ancora una volta in capo al titolare del trattamento – di effettuare una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Tale valutazione, necessariamente precedente alle operazioni di trattamento, sarà indispensabile in tutti i casi in cui il tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento; è previsto, inoltre, che l’autorità di controllo pubblichi un elenco puntuale delle tipologie di trattamento soggette a tale valutazione preventiva.
Le sanzioni amministrative
Concludendo, è bene rammentare che la violazione, da parte dei titolari, della normativa contenuta nel Regolamento, sarà soggetta a pesanti sanzioni pecuniarie amministrative: in particolare, a seconda delle disposizioni violate, la loro mancata osservanza potrà comportare sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.