di Camilla Zanichelli e Gabriele Molinari* * Ugdcec di Parma

A distanza di quasi vent’anni dall’entrata in vigore, l’8 maggio 1997, della prima legge italiana in materia di privacy, e dopo un travagliato periodo di trattative iniziato nel 2012 con il pacchetto di protezione dei dati, lo scorso 4 maggio è stato pubblicato nella Gazzetta Ufficiale Europea il nuovo regolamento europeo n. 2016/679, già entrato in vigore il 25 maggio e definitivamente applicabile in via diretta da tutti i paesi Ue a partire dal 25 maggio 2018. Tale regolamento, che va a sostituire la vecchia direttiva 95/46/Ce, ridefinisce la disciplina europea in materia di privacy, introducendo numerosi importanti cambiamenti, direttamente e uniformemente applicabili in tutti gli stati membri dell’Unione.

Gli stati membri a ogni modo, sebbene il regolamento, in quanto tale, non abbia bisogno di recepimento, hanno due anni per adeguare le proprie normative interne e dunque pure le aziende hanno detto margine per venir sensibilizzate alle novità introdotte: tale termine, che può sembrare ampio, ponderando tutti i vari adempimenti appare oltremodo corretto.

Le novità introdotte con il regolamento riguarderanno sia le aziende (cosiddette titolari del trattamento), le quali operando all’interno dell’Ue trattano dati personali, sia le persone fisiche (cosiddette interessate del trattamento) presenti all’interno della Ue anche quando, malgrado il titolare del trattamento non abbia uno stabilimento nel territorio Ue, il trattamento stesso riguardi l’offerta di beni/prestazione di servizi ai soggetti interessati, ovvero il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno dell’Ue.

L’ambito di applicazione della disciplina europea in materia di privacy viene dunque esteso: difatti, ogniqualvolta vi sia trattamento di dati personali di soggetti stabiliti nell’Ue da parte di un soggetto stabilito al di fuori della stessa, al fine di offrire loro beni e/o servizi ovvero di monitorarne il comportamento, dovranno necessariamente essere applicate le prescrizioni del nuovo regolamento. Tale innovazione interesserà in particolar modo gli internet service provider esteri: questi, infatti, non potranno sottrarsi all’applicazione della normativa europea in materia di privacy, invocando l’assenza di un proprio stabilimento nel territorio Ue.

Analizzando quindi nel dettaglio le novità di maggior rilievo, si vuole dar risalto in primis a una nuova professionalità introdotta, che è quella del Data protection officer (cosiddetto Dpo): un soggetto, dipendente o professionista esterno, esperto di normativa e prassi in materia di privacy, al quale è demandato il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal regolamento stesso, di vigilare sul loro effettivo adempimento, di fornire, ove richiesto, pareri di merito o valutazioni d’impatto sulla protezione dei dati raccolti e di fungere da punto di contatto, da un lato, con gli interessati e, dall’altro, direttamente con il garante.

Ulteriori punti di novità del regolamento da monitorare saranno:

a) il diritto all’oblio, ovvero la possibilità per l’interessato di decidere che vengano cancellati e non sottoposti ad ulteriore trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o quando ci si è opposti al trattamento dei dati personali;

b) il diritto alla portabilità dei dati, in virtù del quale l’interessato ha appunto il diritto di ricevere i dati personali che lo riguardano, forniti a un titolare del trattamento ed ha altresì il diritto di trasmettere tali dati ad un altro titolare del trattamento senza impedimento alcuno, qualora l’interessato abbia fornito il proprio consenso al trattamento o se questo sia necessario per l’esecuzione di uno specifico contratto;

c) il principio di accountability, per cui il titolare dovrà dimostrare l’adozione di politiche privacy e di misure adeguate, in conformità al regolamento stesso;

d) il principio della privacy by design, dal quale discende l’attuazione di adeguate misure tecniche ed organizzative sia all’atto della progettazione che durante l’esecuzione del trattamento;

e) il principio della privacy by default, il quale stabilisce come i dati debbano essere trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini.

Infine viene inasprito il sistema sanzionatorio, per il quale il regolamento ha aumentato l’ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino a un massimo di 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.

Fonte: