L’avv. Alessio Pellegrino E IL REGOLAMENTO EUROPEO SULLA LIBERA CIRCOLAZIONE DEI DATI PERSONALI

L’avv. Alessio Pellegrino E IL REGOLAMENTO EUROPEO SULLA LIBERA CIRCOLAZIONE DEI DATI PERSONALI
Maggio 6, 2016 No Comments » Andrea Pontecorvo, Innovazione & Processo Telematico valentina carollo

05.05.16

Intervista all’avv. Alessio Pellegrino del foro di Roma ed esperto nel diritto della Privacy sul REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). A cura di Andrea Pontecorvo

Approfondimento:

Segnalo la pubblicazione in data 04/05/2016, 4 maggio 2016, sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) L 119  Legislazione 59° anno del testo del Regolamento europeo in materia di protezione dei dati personali

Più specificatamente sono stati pubblicati:

  • Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) così detta “Direttiva Madre”
    http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:JOL_2016_119_R_0001&from=EN
  • la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio

Sperando di farVi cosa gradita incollo appunti (fonti Luigi Montuori e scritti di Iaselli e Piva-Rampazzo-Spongano) presi per una breve intervista radiofonica fatta sul tema ad un amico.

SINTESI,  PER  PUNTI  DISTINTI,  DELLE PRINCIPALI  E  FONDAMENTALI  NOVITÀ  DERIVANTI  DALLA  PROPOSTA  DI  NUOVO  REGOLAMENTO EUROPEO.
Poiché i Regolamenti UE sono immediatamente esecutivi, ovvero non richiedendo la necessità di recepimento da parte degli Stati membri, essi possono garantire una maggiore armonizzazione a livello dell’intera UE.  L’entrata in vigore di questo Regolamento (ex art 99 comma I del Regolamento,  il 24 maggio 2016) e la decorrenza dell’applicabilità, 25 maggio 2018 (ex comma II art. 99 Reg.) permetterà che le stesse norme siano contemporaneamente in vigore in ventisette stati membri UE uniformandoli sotto un unico codice.
Il Regolamento chiarisce che ogni autorità di controllo deve agire in piena indipendenza nell’adempimento dei compiti e nell’esercizio dei poteri che le sono stati conferiti conformemente al Regolamento; che ogni autorità di controllo contribuisce alla coerente applicazione del Regolamento in tutta l’Unione. Ciò avrà implicazioni anche dal punto di vista giuridico dappoiché sembra potersi desumere che la decisione presa da una delle Autorità di garanzia nazionali dei Paesi UE (come il nostro Garante), sarà così de facto direttamente operativa anche per gli altri 26 Paesi aderenti all’Unione.

Tra le principali, numerose, novità:

1.  CAMPO DI APPLICAZIONE (artt. 2 e 3)
Il Regolamento si applica al trattamento dei dati personali

  1. effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
  2. di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano
    1. l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
    2. il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
  3. effettuato da un titolare del trattamento che non è  stabilito nell’Unione, ma  in  un  luogo soggetto  al  diritto  di  uno  Stato  membro in  virtù  del  diritto  internazionale pubblico.

In  sostanza,  viene  introdotto  il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati  personali non svolti  nell’UE,  se  relativi  all’offerta  di  beni  o  sevizi  a  cittadini UE o tali da comportare il monitoraggio dei loro comportamenti o se titolare o responsabile del trattamento hanno una sede in Europa o se, addirittura se sono soggetti all’applicazione in virtù del diritto internazionale pubblico.

Con ciò viene sancito, per la prima volta, un principio di extraterritorialità della vigenza di tale Regolamento privacy. Le  norme  interesseranno  tutti  quei  soggetti  (anche  extraeuropei)  che  sono chiamati a trattare (in maniera automatizzata o meno) i dati relativi, per esempio,  a utenti, clienti, dipendenti o fornitori.

Il Regolamento, come espressamente affermato anche nei relativi  considerando al testo, si applicherà anche al trattamento di identificativi sia non automatizzato, che automatizzato, ed anche anche solo parzialmente automatizzato da dispositivi, applicazioni,  strumenti  e  protocolli,  quali  gli  indirizzi  IP,  i  cookies  e  i  tag  di identificazione  a  radiofrequenza. Sia nel caso in  cui  tali  identificativi si  riferiscano a una persona fisica identificata (es. nome e cognome), sia nel caso in cui tali indentificativi si riferiscano ad una persona genericamente identificabile (ed. tramite l’indirizzo IP).

Le  aziende  e  le  istituzioni  pubbliche  dovranno,  pertanto,  adottare  politiche  ed attuare  misure  adeguate  per  garantire  ed  essere  in  grado  di  dimostrare  che  il trattamento dei dati personali effettuato sia conforme – fin dalla fase embrionale – a tutte le disposizioni del Regolamento.  I  Titolari  del  trattamento  (imprese  private,  enti pubblici,  studi  professionali,  etc.)  avranno  tempo  due  anni  dalla  pubblicazione del testo definitivo per mettersi in regola con gli adempimenti derivanti.

Di  importanza  non  secondaria,  sarà  l’impianto  sanzionatorio.  Al  fine  di  rendere punibile  chiunque,  persona  di  diritto  pubblico  o  di  diritto  privato,  non  ottemperi alle  disposizioni  del  Regolamento,  quest’ultimo  richiederà  agli  Stati  membri  di garantire  sanzioni  efficaci,  proporzionate  e  dissuasive  e  di  adottare  tutte  le misure necessarie per la loro applicazione. L’Autorità di Controllo potrà arrivare ad imporre sanzioni amministrative pecuniarie fino a 100 milioni di Euro o fino al 5% del fatturato mondiale annuo (se superiore) nel caso di un’impresa.

2. NUOVI DIRITTI OBLIO E PORTABILITA’

Il Regolamento introduce nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali. Si segnala, innanzitutto, l’introduzione del Riconoscimento di nuovi diritti. Il   testo   del   Regolamento riconosce sancendoli il  Diritto  all’oblio  (rispettivamente, right to be forgotten / right to erasure) e  Diritto  alla  portabilità  del  dato (data portability ).

Con diritto all’oblio si intende la possibilità di ogni individuo di richiedere (per motivazioni legittime) la cancellazione dei propri dati in possesso di terzi.

Questo potrà accadere sia per tutelare il cd. Diritto all’oblio propriamente detto, ovvero il diritto – a certe circostanze – ad essere dimenticati (come nel caso di pubblicazione online di coinvolgimenti in procedimenti giudiziari o condanne penali), ovvero il Diritto sancito dalla celebre sentenza 13/05/2014 n° C-131/12 della Corte di Giustizia UE, sez. Grande, nel caso Google-Spain;  sia, un diritto vero e proprio alla cancellazione del dato, ad esempio in ambito web quando un utente richiederà l’eliminazione dei propri dati in possesso di un social network o di altro servizio web.

Questo nuovo diritto è una innovazione fondamentale, se consideriamo che, nelle clausole per l’iscrizione al più notorio social network mondiale, Facebook, è chiaramente specificato che una volta commentate (anche solo da un like) le fotografie o gli scritti del nostro profilo, questi non sono più cancellabili con la cancellazione del profilo perché pur non essendo disponibili a chi li ha inseriti appartengono anche alla disponibilità del profilo di chi ha commentato. Sarà indubbio che anche Facebook dovrà fare un dietrofront.

Con  Diritto  alla  portabilità  del  dato  si  intende  il  riconoscimento  non solo del  diritto dell’interessato  a  trasferire  i  propri  dati  (es.  quelli  relativi  al  proprio  “profilo utente”) da un sistema di trattamento elettronico ad un altro  senza  che  il  Titolare  possa  impedirlo (es. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro),  ma anche  del  diritto  di  ottenere  gli  stessi  in  un formato  elettronico  strutturato  (ad esempio un cvs) e  di  uso  comune  che  consenta  di  farne  ulteriore uso.  Tale  diritto  dovrebbe  trovare  applicazione  quando  l’interessato  ha  fornito  i dati  al  sistema  di  trattamento  automatizzato  acconsentendo  al  trattamento  o  in esecuzione di un contratto.

3. ACCOUNTABILITY

Per Titolari e Responsabili del trattamento le novità saranno parecchie. Innanzitutto il principio della accountability, cioè l’applicazione operativa del principio di rendicontazione inteso come dovere di documentazione e di informazione. Ciò comporterà l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure privacy in capo a chi tratta i dati.

Pertanto, come nei programmi di gestione della qualità e sicurezza delle informazioni sarà  necessario  elaborare  un  sistema  documentale  di  gestione  della  privacy, contenente  tutti  gli  atti, regolarmente  aggiornati,  elaborati  per  soddisfare i requisiti di conformità al Regolamento, redigere e conservare opportune documentazioni attestanti il “modello organizzativo e di sicurezza privacy”, saranno necessarie “valutazioni d’impatto sulla protezione dei dati personali”, in caso di trattamenti rischiosi, e verifiche preliminari per diverse circostanze da parte del Regolamento
Si valicherà, peraltro, la prassi di notificazione all’autorità, con notevole semplificazione per le attività d’impresa pluri-nazionali.

Acquisirà  ancora  più  importanza  il  principio  di  trasparenza  e  di informazione  nei  confronti  dell’interessato,  che  il  Titolare  del  trattamento  farà valere   sia   attraverso   l’adozione   di   politiche   concise,   trasparenti,   chiare   e facilmente accessibili, sia mediante la resa di informazioni e comunicazioni con un linguaggio semplice e chiaro (in particolare se le informazioni sono destinate ai minori). Ancora più rilevante diverrà l’obbligo di resa dell’informativa privacy e della  acquisizione  “granulare”  dei  consensi  (specifici  per  ogni  tipologia  di trattamento),  quando  dovuti.  Il  Regolamento  amplia il  contenuto  da  inserire nell’Informativa rispetto al dettato dall’art. 13 dell’attuale Codice Privacy

4. Privacy OFFICER o DPO (artt. 35 e sgg.)

Un’ulteriore novità rappresenta l’obbligo, per le imprese con oltre 250 dipendenti e per tutti gli enti pubblici, di nominare un Responsabile della protezione dei dati (c.d. Data Protection Officer, DPO o Privacy Officer (designato da responsabile del trattamento ed incaricato del trattamento , interno o esterno, con un’ampia conoscenza della normativa, che sarà in relazione diretta con i vertici aziendali.
Qualora, poi, il responsabile del trattamento o l’incaricato del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un membro del personale o un libero professionista.

Il responsabile della protezione dei dati deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal responsabile del trattamento che dall’incaricato del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento. Il responsabile della protezione dei dati deve godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti. Inoltre il Regolamento specifica (art. 36) che il responsabile della protezione dei dati non è rimosso o penalizzato dal responsabile del trattamento o dall’incaricato del trattamento per l’adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del responsabile del trattamento o dell’incaricato del trattamento.

L’art. 37 del Regolamento chiarisce quali sono i compiti del responsabile della protezione dei dati:
a) informare e consigliare il responsabile del trattamento o l’incaricato del trattamento nonché i dipendenti che trattano dati personali in merito agli obblighi derivanti dal Regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e gli audit connessi;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento di dati personali, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni su qualunque altra questione.

avv. Alessio Pellegrino

Tags