05.05.16
Intervista all’avv. Alessio Pellegrino del foro di Roma ed esperto nel diritto della Privacy sul REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). A cura di Andrea Pontecorvo
Approfondimento:
Segnalo la pubblicazione in data 04/05/2016, 4 maggio 2016, sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) L 119 Legislazione 59° anno del testo del Regolamento europeo in materia di protezione dei dati personali
Più specificatamente sono stati pubblicati:
- Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) così detta “Direttiva Madre”
http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:JOL_2016_119_R_0001&from=EN - la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio
Sperando di farVi cosa gradita incollo appunti (fonti Luigi Montuori e scritti di Iaselli e Piva-Rampazzo-Spongano) presi per una breve intervista radiofonica fatta sul tema ad un amico.
SINTESI, PER PUNTI DISTINTI, DELLE PRINCIPALI E FONDAMENTALI NOVITÀ DERIVANTI DALLA PROPOSTA DI NUOVO REGOLAMENTO EUROPEO.
Poiché i Regolamenti UE sono immediatamente esecutivi, ovvero non richiedendo la necessità di recepimento da parte degli Stati membri, essi possono garantire una maggiore armonizzazione a livello dell’intera UE. L’entrata in vigore di questo Regolamento (ex art 99 comma I del Regolamento, il 24 maggio 2016) e la decorrenza dell’applicabilità, 25 maggio 2018 (ex comma II art. 99 Reg.) permetterà che le stesse norme siano contemporaneamente in vigore in ventisette stati membri UE uniformandoli sotto un unico codice.
Il Regolamento chiarisce che ogni autorità di controllo deve agire in piena indipendenza nell’adempimento dei compiti e nell’esercizio dei poteri che le sono stati conferiti conformemente al Regolamento; che ogni autorità di controllo contribuisce alla coerente applicazione del Regolamento in tutta l’Unione. Ciò avrà implicazioni anche dal punto di vista giuridico dappoiché sembra potersi desumere che la decisione presa da una delle Autorità di garanzia nazionali dei Paesi UE (come il nostro Garante), sarà così de facto direttamente operativa anche per gli altri 26 Paesi aderenti all’Unione.
Tra le principali, numerose, novità:
1. CAMPO DI APPLICAZIONE (artt. 2 e 3)
Il Regolamento si applica al trattamento dei dati personali
- effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
- di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano
- l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
- effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
In sostanza, viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti o se titolare o responsabile del trattamento hanno una sede in Europa o se, addirittura se sono soggetti all’applicazione in virtù del diritto internazionale pubblico.
Con ciò viene sancito, per la prima volta, un principio di extraterritorialità della vigenza di tale Regolamento privacy. Le norme interesseranno tutti quei soggetti (anche extraeuropei) che sono chiamati a trattare (in maniera automatizzata o meno) i dati relativi, per esempio, a utenti, clienti, dipendenti o fornitori.
Il Regolamento, come espressamente affermato anche nei relativi considerando al testo, si applicherà anche al trattamento di identificativi sia non automatizzato, che automatizzato, ed anche anche solo parzialmente automatizzato da dispositivi, applicazioni, strumenti e protocolli, quali gli indirizzi IP, i cookies e i tag di identificazione a radiofrequenza. Sia nel caso in cui tali identificativi si riferiscano a una persona fisica identificata (es. nome e cognome), sia nel caso in cui tali indentificativi si riferiscano ad una persona genericamente identificabile (ed. tramite l’indirizzo IP).
Le aziende e le istituzioni pubbliche dovranno, pertanto, adottare politiche ed attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato sia conforme – fin dalla fase embrionale – a tutte le disposizioni del Regolamento. I Titolari del trattamento (imprese private, enti pubblici, studi professionali, etc.) avranno tempo due anni dalla pubblicazione del testo definitivo per mettersi in regola con gli adempimenti derivanti.
Di importanza non secondaria, sarà l’impianto sanzionatorio. Al fine di rendere punibile chiunque, persona di diritto pubblico o di diritto privato, non ottemperi alle disposizioni del Regolamento, quest’ultimo richiederà agli Stati membri di garantire sanzioni efficaci, proporzionate e dissuasive e di adottare tutte le misure necessarie per la loro applicazione. L’Autorità di Controllo potrà arrivare ad imporre sanzioni amministrative pecuniarie fino a 100 milioni di Euro o fino al 5% del fatturato mondiale annuo (se superiore) nel caso di un’impresa.
2. NUOVI DIRITTI OBLIO E PORTABILITA’
Il Regolamento introduce nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali. Si segnala, innanzitutto, l’introduzione del Riconoscimento di nuovi diritti. Il testo del Regolamento riconosce sancendoli il Diritto all’oblio (rispettivamente, right to be forgotten / right to erasure) e Diritto alla portabilità del dato (data portability ).
Con diritto all’oblio si intende la possibilità di ogni individuo di richiedere (per motivazioni legittime) la cancellazione dei propri dati in possesso di terzi.
Questo potrà accadere sia per tutelare il cd. Diritto all’oblio propriamente detto, ovvero il diritto – a certe circostanze – ad essere dimenticati (come nel caso di pubblicazione online di coinvolgimenti in procedimenti giudiziari o condanne penali), ovvero il Diritto sancito dalla celebre sentenza 13/05/2014 n° C-131/12 della Corte di Giustizia UE, sez. Grande, nel caso Google-Spain; sia, un diritto vero e proprio alla cancellazione del dato, ad esempio in ambito web quando un utente richiederà l’eliminazione dei propri dati in possesso di un social network o di altro servizio web.
Questo nuovo diritto è una innovazione fondamentale, se consideriamo che, nelle clausole per l’iscrizione al più notorio social network mondiale, Facebook, è chiaramente specificato che una volta commentate (anche solo da un like) le fotografie o gli scritti del nostro profilo, questi non sono più cancellabili con la cancellazione del profilo perché pur non essendo disponibili a chi li ha inseriti appartengono anche alla disponibilità del profilo di chi ha commentato. Sarà indubbio che anche Facebook dovrà fare un dietrofront.
Con Diritto alla portabilità del dato si intende il riconoscimento non solo del diritto dell’interessato a trasferire i propri dati (es. quelli relativi al proprio “profilo utente”) da un sistema di trattamento elettronico ad un altro senza che il Titolare possa impedirlo (es. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro), ma anche del diritto di ottenere gli stessi in un formato elettronico strutturato (ad esempio un cvs) e di uso comune che consenta di farne ulteriore uso. Tale diritto dovrebbe trovare applicazione quando l’interessato ha fornito i dati al sistema di trattamento automatizzato acconsentendo al trattamento o in esecuzione di un contratto.
3. ACCOUNTABILITY
Per Titolari e Responsabili del trattamento le novità saranno parecchie. Innanzitutto il principio della accountability, cioè l’applicazione operativa del principio di rendicontazione inteso come dovere di documentazione e di informazione. Ciò comporterà l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure privacy in capo a chi tratta i dati.
Pertanto, come nei programmi di gestione della qualità e sicurezza delle informazioni sarà necessario elaborare un sistema documentale di gestione della privacy, contenente tutti gli atti, regolarmente aggiornati, elaborati per soddisfare i requisiti di conformità al Regolamento, redigere e conservare opportune documentazioni attestanti il “modello organizzativo e di sicurezza privacy”, saranno necessarie “valutazioni d’impatto sulla protezione dei dati personali”, in caso di trattamenti rischiosi, e verifiche preliminari per diverse circostanze da parte del Regolamento
Si valicherà, peraltro, la prassi di notificazione all’autorità, con notevole semplificazione per le attività d’impresa pluri-nazionali.
Acquisirà ancora più importanza il principio di trasparenza e di informazione nei confronti dell’interessato, che il Titolare del trattamento farà valere sia attraverso l’adozione di politiche concise, trasparenti, chiare e facilmente accessibili, sia mediante la resa di informazioni e comunicazioni con un linguaggio semplice e chiaro (in particolare se le informazioni sono destinate ai minori). Ancora più rilevante diverrà l’obbligo di resa dell’informativa privacy e della acquisizione “granulare” dei consensi (specifici per ogni tipologia di trattamento), quando dovuti. Il Regolamento amplia il contenuto da inserire nell’Informativa rispetto al dettato dall’art. 13 dell’attuale Codice Privacy
4. Privacy OFFICER o DPO (artt. 35 e sgg.)
Un’ulteriore novità rappresenta l’obbligo, per le imprese con oltre 250 dipendenti e per tutti gli enti pubblici, di nominare un Responsabile della protezione dei dati (c.d. Data Protection Officer, DPO o Privacy Officer (designato da responsabile del trattamento ed incaricato del trattamento , interno o esterno, con un’ampia conoscenza della normativa, che sarà in relazione diretta con i vertici aziendali.
Qualora, poi, il responsabile del trattamento o l’incaricato del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.
Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un membro del personale o un libero professionista.
Il responsabile della protezione dei dati deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal responsabile del trattamento che dall’incaricato del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento. Il responsabile della protezione dei dati deve godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti. Inoltre il Regolamento specifica (art. 36) che il responsabile della protezione dei dati non è rimosso o penalizzato dal responsabile del trattamento o dall’incaricato del trattamento per l’adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del responsabile del trattamento o dell’incaricato del trattamento.
L’art. 37 del Regolamento chiarisce quali sono i compiti del responsabile della protezione dei dati:
a) informare e consigliare il responsabile del trattamento o l’incaricato del trattamento nonché i dipendenti che trattano dati personali in merito agli obblighi derivanti dal Regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e gli audit connessi;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento di dati personali, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni su qualunque altra questione.
avv. Alessio Pellegrino