La riforma della normativa sulla protezione dei dati personali nell’Unione Europea

By
Giovanni Modesti
-

Parte da lontano la revisione dell’attuale quadro normativo in materia di trattamento dei dati personali. Avviata già nel maggio 2009 da parte della Commissione europea, è proseguita nel 2010 dopo lo svolgimento delle consultazioni ufficiali e, nel gennaio dello stesso anno, il Vice Presidente Viviane Reding ha annunciato l’intenzione della Commissione di modernizzare le norme U.E. sulla privacy dei dati.

Il 25 gennaio 2012 la Commissione europea ha proposto una riforma in materia di protezione dei dati personali, la cui normativa risale al 1995, ci si riferisce alla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
La ridefinizione del quadro legislativo riguardante la riservatezza mira a rafforzare i diritti della privacy on line, attesa l’enorme diffusione di Internet tra le popolazioni del vecchio Continente con il conseguente trattamento di dati personali attraverso la rete, e si inserisce nell’ambito occupato dalla economia digitale europea, che, a sua volta, va nella direzione della semplificazione degli adempimenti a carico delle imprese.

Tale iniziativa vuole quindi aumentare il grado di confidenza dei consumatori verso il mercato dei beni e servizi on line provvedendo, inoltre, ad innovare il mercato del lavoro in Europa. Altro versante sul quale il provvedimento va ad impattare è quello della riduzione dei costi che le aziende oggi sopportano per assolvere agli adempimenti sanciti dalla normativa sulla privacy. Attualmente il trattamento dei dati personali attraverso la rete Internet rappresenta una costante della nostra quotidianità, vista la necessità che le aziende hanno di raccogliere e conservare i dati personali dei clienti attuali e di quelli potenziali.

Tali dati spesso vengono trasferiti in paesi terzi che non sempre assicurano standard di protezione analoghi a quelli imposti a livello comunitario. (In questa dimensione si inserisce il cloud computing che consente la allocazione dei dati in server siti in paesi diversi da quelli ove gli stessi sono stati prodotti.)

La riforma che sarà a breve formalizzata dagli organi legislativi della U.E., appena dopo essere stata presentata al Parlamento europeo ed agli Stati membri della Unione, può essere succintamente riassunta nei seguenti aspetti:

  • La normativa comunitaria sarà unica per tutti gli Stati membri, con abolizione degli oneri amministrativi inutili, tipo le prescrizioni di comunicazione a carico delle imprese; con risparmi alle imprese previsti per un ammontare pari a 2,3 miliardi di euro l’anno.
  • Sono intesi come dati personali tutte le informazioni relative a una persona, alla sua vita privata, professionale o pubblica. Un nome, una foto, l’indirizzo e-mail, gli estremi bancari, i post nei siti di social network, i dati medici, l’indirizzo Ip, tutto può essere dato personale.
  • L’attuale obbligo di notificazione dei trattamenti a carico delle imprese verrà sostituito da un regolamento che prevede maggiore responsabilità e un obbligo di rendicontazione per chi tratta i dati. Le aziende di una certa dimensione che contano un organico con più di 250 dipendenti, e quelle coinvolte in attività che per natura o scopo presentino specifici rischi per i diritti e le libertà individuali (risky processing), pubbliche e private, hanno l’obbligo di nominare un “data protection officer” (incaricato della protezione dati). Questa figura di professionista dovrà tenere un registro di tutte le operazioni di trattamento sui dati personali effettuato da parte dell’ente e/o azienda che l’ha nominato. L’accesso al registro viene disciplinato dalle norme che, anche oggi, prevedono che l’interessato possa chiedere informazioni a riguardo dei propri dati che vengono trattati dal titolare (ente e/o azienda). Il registro, in una ottica di trasparenza, deve contenere tutte le informazioni che spiegano lo scopo e le condizioni di tutti i trattamenti. Detto registro potrà essere visionato dai soggetti interessati sia in modalità on-line sia mediante lettura, da effettuarsi presso i locali dove opera il titolare del trattamento o altri siti da questi indicati, nell’ipotesi in cui l’interessato non disponga di una connessione a Internet.
  • Altro aspetto preso in considerazione nel provvedimento di riforma è quello legato alla problematica della sicurezza nel trattamento del dato che viene affrontata in una ottica prettamente aziendale in quanto si inserisce nella scia delle politiche di sicurezza aziendali disciplinate attraverso i vari sistemi ISO. Viene introdotto il requisito del “privacy impact assessment” (valutazione dell’impatto-privacy) oltre al principio generale detto “privacy by design” (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software.
  • La grave violazione dei dati, riscontrata dalle imprese, dovrà essere denunciata alle autorità nazionali di controllo; allo stesso modo, esse, dovranno informare i clienti in caso di furto o divulgazione accidentale di dati personali.
  • Ciascuna impresa avrà a che fare con una unica autorità nazionale di protezione dei dati nel paese dell’Unione in cui ha il proprio stabilimento principale. Sarà così possibile rivolgersi all’autorità di protezione dei dati del proprio paese anche se i propri dati sono trattati da un’impresa con sede fuori dell’Unione.
  • Qualora la norma preveda la manifestazione di volontà, per potere trattare i dati personali, il consenso non può essere presunto ma dovrà essere richiesto esplicitamente.
  • Il testo da adottare prevede, inoltre, forme più semplici di accesso ai propri dati così come anche la possibilità di trasferire i propri dati da un fornitore di servizi a un altro (diritto alla portabilità dei dati), il che comporterà un miglioramento della concorrenza tra i servizi.
  • Viene, finalmente, riconosciuto il diritto all’oblio con possibilità per l‘interessato di chiedere la cancellazione dei propri dati se non sussistono motivi legittimi per mantenerli.
  • E’ prevista una sorta di prevalenza della normativa comunitaria in materia di trattamento dei dati personali rispetto al trattamento di dati personali trattati all’estero “da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell’Unione.”
  • Viene attribuito un maggiore potere sanzionatorio in capo alle autorità nazionali indipendenti di protezione dei dati con la possibilità di comminare sanzioni pecuniarie fino ad 1 milione di euro o pari al 2% del fatturato mondiale annuo.

Il secondo braccio della proposta di riforma, da realizzarsi attraverso una Direttiva che dovrà essere successivamente recepita dai singoli Stati membri, prevede anche un capitolo specifico relativo alla protezione dei dati personali nell’ambito della cooperazione giudiziaria per la prevenzione e l’indagine sui crimini, e di facilitare lo scambio dei dati personali fra polizia e autorità giudiziarie degli Stati membri, per mezzo di una specifica Direttiva che consentirà di:

  • applicare principi generali di protezione dei dati alla collaborazione tra autorità giudiziarie nel rispetto della specifica natura di questi dati;
  • fornire criteri e condizioni coerenti sulle limitazioni alle regole generali, tenendo conto in particolare dei diritti individuali ad essere informati quando la polizia o le autorità giudiziarie accedono o utilizzano i relativi dati;
  • stabilire regole per le specifiche attività di polizia, compresa la distinzione fra le differenti categorie di soggetti i cui diritti possono essere differenti (come per esempio tra testimoni e sospettati).

Facebook Comments

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here