Regolamento generale sulla protezione dei dati

Il 4 maggio 2016 il nuovo Regolamento generale sulla protezione dei dati (General Data Protection Regulation, o GDPR) è stato pubblicato sulla Gazzetta Ufficiale dell'Unione Europea.

Il GDPR in breve

Questo è ciò che prevede in breve il nuovo Regolamento Privacy UE:

• Sarà applicabile a partire dal 25 maggio 2018 (ci sono dunque 2 anni di tempo per adeguarsi alle nuove disposizioni);
• Il GDPR sarà direttamente applicabile in tutti i Paesi UE (e quindi le stesse regole saranno valide in tutti i Paesi europei), fatta eccezione per le regole esistenti nell'ambito delle attuali direttive privacy e del quadro normativo europeo;
• Ogni individuo avrà maggiore controllo sui dati personali, come la possibilità di portare i dati con sé fra diversi fornitori di servizi;
• I minori saranno soggetti a tutele addizionali per il trattamento dei dati;
• Saranno inoltre previste semplificazioni per le aziende che trattano dati.

Maggiori informazioni sul nuovo Regolamento Privacy UE

Come per gli altri Regolamenti UE, il nuovo Regolamento Privacy entrerà in vigore nell'intero territorio dell'Unione nel giro di 20 giorni dalla data di pubblicazione, ovvero il 25 maggio 2016; il regolamento prevede tuttavia due anni di tempo per adeguarsi, e quindi non sarà applicabile fino al 25 maggio 2018.

Il nuovo regolamento rappresenta un traguardo per le normative sul trattamento dati, e servirà a rafforzare i diritti esistenti e a dare agli individui più poteri di controllo sui propri dati personali, creando al contempo opportunità di business ed incoraggiando l'innovazione.

GDPR: il nuovo Regolamento Privacy UE in dettaglio

Nel mese di gennaio (2016), l’Unione Europea ha pubblicato una bozza del nuovo Regolamento europeo sulla protezione dei dati personali che sostituirà la legislazione comunitaria esistente in materia di tutela dei dati personali, ovvero la Direttiva 95/46/EC.

Il 4 maggio 2016, il Regolamento generale sulla protezione dei dati personaliè stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea.

Come per ogni regolamento europeo, il GDPR entrerà in vigore su tutto il territorio UE dopo 20 giorni dalla pubblicazione, ovvero il 25 maggio 2016; tuttavia, non sarà applicabile prima del 25 maggio 2018 in quanto il regolamento stesso prevede un periodo di 2 anni per adeguarsi alle nuove disposizioni.

Il nuovo regolamento rappresenta un traguardo per le normative sul trattamento dati, e servirà a rafforzare i diritti esistenti e a dare agli individui più poteri di controllo sui propri dati personali, creando al contempo opportunità di business ed incoraggiando l'innovazione. 

La riforma in questione si basa sull'Articolo 16 del Trattato sul funzionamento dell'Unione Europea (TFUE) il quale permette l'adozione di una normativa relativa alla protezione dell'individuo con riguardo all’elaborazione di dati personali ad opera degli Stati Membri quando impegnati nel ricoprire attività che rientrano nell'ambito del diritto comunitario.

Permette inoltre l'adozione di una normativa riguardante il libero scambio di dati personali, includendo dati personali elaborati dagli Stati Membri o da parti private.

La riforma introduce due strumenti legislativi:

• Il Regolamento generale sulla protezione dei dati personali, inerente all'elaborazione dei dati personali e alla libera circolazione di tali dati (che è ciò a cui noi, imprese e consumatori, siamo maggiormente interessati);
• La Direttiva sulla protezione dei dati inerenti alla polizia e alla giustizia penale, che si assicurerà che i dati relativi a vittime, testimoni e individui sospettati di un crimine vengano debitamente protetti nel corso di un’indagine o durante l'esecuzione di una sanzione penale. Allo stesso modo, delle leggi più armonizzate faciliteranno la cooperazione tra la polizia o i pubblici ministeri dei Paesi confinanti per combattere crimine e terrorismo efficacemente in tutta Europa.

1. Il Regolamento generale sulla protezione dei dati personali

Prima di tutto, è importante comprendere che il GDPR è un regolamento, e non una direttiva come la precedente Direttiva 95/46/EC. Questi due termini sono spesso usati come sinonimi, ma hanno in realtà un significato molto diverso: infatti, una direttiva è attuata per mezzo della legislazione dei singoli Paesi (deve quindi essere recepita dal singolo Stato e tramutata in legge ordinaria) mentre un regolamento, una volta adottato, diventa immediatamente applicabile come legge in tutti gli Stati UE simultaneamente.

Rafforzamento dei diritti degli individui

Il regolamento riguarderà sia i consumatori che le imprese. Infatti, la nuova normativa serve innanzitutto a rafforzare i diritti già esistenti ed a potenziare i singoli individui con più controllo sui propri dati personali. In particolare:

1. Accesso più semplice ai propri dati: le persone avranno maggiori informazioni su come i propri dati vengono processati. Tali informazioni dovranno essere presentate in modo chiaro e comprensibile;
2. Diritto alla trasferibilità dei dati: sarà più semplice trasferire i propri dati personali fra diversi fornitori di servizi;
3. Diritto all'oblio: se un individuo non vuole più che i propri dati vengano trattati, e dimostra che non c'è motivo per conservarli, i suoi dati dovranno essere cancellati;
4. Trattamento dei dati personali del minore: vengono introdotte delle condizioni per la legittimità del trattamento dei dati personali del minore per i servizi di informazione che gli vengono offerti direttamente;
5. Diritto di sapere quando i propri dati sono stati violati: ad esempio, imprese ed organizzazioni devono notificare il prima possibile all'autorità nazionale di vigilanza le violazioni di dati personali più gravi, cosicché gli utenti possano prendere le misure adeguate.

Principi commerciali

Nell'unificare le normative europee in materia di protezione dei dati, i legislatori mirano anche a creare opportunità di business e ad incoraggiare l'innovazione. Con questa prospettiva la nuova regolamentazione stabilirà alcuni nuovi principi:

1. Un continente, una legge: il regolamento stabilirà un solo pacchetto di regole per rendere più facile ed economico per le imprese fare business nell'Unione Europea;
2. Una sola autorità di vigilanza: le imprese faranno capo ad una singola autorità di vigilanza, con un risparmio stimato di 2.3 miliardi di euro all'anno;
3. Normativa europea su suolo europeo: le imprese extra-UE dovranno comunque applicare la normativa europea quando offrono servizi nell'Unione Europea;
4. Approccio basato sul rischio: la normativa non prevederà degli obblighi complessi e uguali per tutti, ma piuttosto si adatterà ai rispettivi rischi;
5. Una normativa adatta all'innovazione: il regolamento garantirà che la salvaguardia della protezione dei dati personali sia integrata in prodotti e servizi fin dalla fase iniziale del processo ("Data protection by design"). Le pratiche a tutela della privacy, come l'uso di pseudonimi, saranno incoraggiate per sfruttare i benefici dei big data, ma proteggendo al contempo la privacy.

In aggiunta, questa riforma taglierà i costi e la burocrazia del commercio europeo, con particolare attenzione alle Piccole e Medie Imprese (PMI). La riforma della protezione dei dati dell'UE aiuterà le PMI ad affacciarsi su nuovi mercati. Grazie alla nuova normativa, le PMI otterranno inoltre dei benefici derivanti da alcune semplificazioni nella burocrazia:

1. Basta notifiche: le notifiche alle autorità di vigilanza sono una formalità che rappresenta un costo di 130 milioni di euro all'anno. La riforma le eliminerà definitivamente;
2. Ogni centesimo conta: in caso di richieste di accesso ai dati eccessive o palesemente infondate, le PMI potranno richiedere una tariffa per fornire l'accesso;
3. Responsabili del trattamento dati personali: le PMI saranno esonerate dall'obbligo di nominare un responsabile del trattamento dei dati personali nella misura in cui il trattamento dati non sia la principale attività dell'impresa;
4. Valutazioni d'impatto: le PMI non avranno l'obbligo di effettuare la valutazione d'impatto, a meno che non ci sia un rischio elevato;
5. Protezione dei dati personali quando si applicano le leggi;
6. Migliore cooperazione tra le autorità incaricate dell'applicazione delle leggi.

2. Direttiva sulla protezione dei dati per la polizia e le autorità in materia di giustizia penale

Secondo la Commissione Europea, questa direttiva punta a migliorare la cooperazione tra le autorità incaricate dell'applicazione delle norme, rafforzando la fiducia reciproca tra polizia e autorità giudiziaria. Inoltre fornirà ai cittadini una migliore protezione dei propri dati: i dati personali dei singoli individui saranno protetti con più sicurezza anche durante una qualsiasi operazione a scopo giudiziario, inclusa la prevenzione di un crimine. La normativa proteggerà chiunque – a prescindere dall'essere vittima, sospettato di reato o testimone. Tutti i trattamenti necessari per l'applicazione della legge nell'Unione dovranno attenersi ai principi di necessità, proporzionalità e legalità, con le appropriate garanzie per i singoli individui. La supervisione è garantita dalle autorità nazionali responsabili della protezione dei dati; in più, dovranno essere messi a disposizione dell'individuo degli strumenti giudiziari per i ricorsi.

Passi successivi

A questo punto è necessario continuare ad analizzare i principi di cui sopra, attendere ulteriori istruzioni, linee guida e – quando sarà il momento – le decisioni prese dai tribunali europei e dalle autorità di protezione dei dati personali.

I documenti ufficiali sulla riforma della protezione dei dati sono disponibili qui.