Approvato regolamento europeo privacy
Il 4 maggio 2016, dopo una discussione durata anni, è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento sulla protezione dei dati personali che si applicherà a decorrere dal 25 maggio 2018.
Il Nuovo Regolamento abroga la Direttiva 95/46/CE, che in Italia era stata recepita prima con la legge 675/96 e successivamente con la 196/2003, e si applicherà direttamente in tutti gli Stati Membri, uniformandone la normativa con una svolta decisamente importante. Il fatto di avere per la prima volta un regolamento al posto di una direttiva, prevede quindi che ogni singolo stato abbia regole precise a cui attenersi, prevedendo notevoli benefici sia in termini di adeguamento per quelle realtà che operano in più paesi sia per tutte quelle operazioni di trattamento dati che coinvolgano scambio di dati verso altri paesi membri della UE.
La legge 196/2003, introdotta quando Internet non era ancora diffuso, i social network, le app o l’Internet of Things (cioè la possibilità per oggetti comuni di essere connessi a Internet e raccogliere enormi quantità di dati relativi ai comportamenti delle persone) non esistevano, da tempo richiedeva l’intervento del Garante attraverso provvedimenti mirati che completassero l’assenza di specifiche prescrizioni dovute al progresso tecnologico. Le tecnologie che si sono diffuse negli ultimi anni e la internazionalizzazione dei flussi di dati hanno significativamente aumentato il rischio per gli individui di diminuire o perdere il controllo sui propri dati. Il Regolamento cerca di dare risposte ad alcune di queste sfide, anche se naturalmente non mancano i dubbi interpretativi.
Il Regolamento introduce anche una serie di obblighi per le imprese che trattano dati personali, in una ottica di maggiore tutela per gli interessati: vanno in questa direzione l’obbligo di protezione dei dati fin dalla progettazione (Privacy by Design) e di protezione per impostazione predefinita (Privacy by Default).
L’informativa e il consenso espresso dell’interessato restano i principi cardine per la protezione dei dati personali ma si introducono nuovi diritti per l’interessato come il diritto di accesso e rettifica dei propri dati personali, quali il diritto all’oblio (cioè ad ottenere che i dati siano cancellati senza ritardo se non sono più necessari per le finalità per i quali sono stati raccolti o trattati oppure in caso di revoca del consenso ) e il diritto alla portabilità dei dati (il diritto a ricevere i dati forniti a un titolare in un formato di uso comune e leggibile al fine di trasmetterli ad altro titolare senza impedimenti da parte del precedente titolare).
La svolta importante che il nuovo regolamento privacy ha introdotto, è che a partire dal 25 Maggio 2018, data di entrata in vigore effettiva del regolamento, le aziende (come anche la pubblica amministrazione) necessiteranno di un vero e proprio Modello Organizzativo Privacy che dovrà di forza tener conto in un ciclo continuo di: principio di accountability, data protection by design e by default, data protection impact assessment, informazioni all’interessato, liceità dei trattamenti.
Sicuramente la necessità di dover modificare i processi aziendali per adeguarsi comporterà per le aziende un profondo cambiamento nei processi aziendali che non necessariamente sarà solo un esborso economico: un rinnovamento delle procedure, dei sistemi, comporterà un rinnovamento che gioverà sia all’utente finale ma che inevitabilmente accrescerà anche il valore delle operazioni di trattamento effettuato da quei soggetti che opereranno secondo le prescrizioni dell’autorità.
La vera sfida per le aziende sarà gestire, nell’arco di questi 2 anni, la completa migrazione verso le richieste della comunità europea: vi riusciranno?