Orientamenti CE sull'applicazione del nuovo Regolamento privacy
Bruxelles, 24 gennaio 2018
La Commissione Europea ha pubblicato degli orientamenti per facilitare un'applicazione diretta e agevole delle nuove norme sulla protezione dei dati in tutta l'UE a partire dal 25 maggio. La Commissione lancia inoltre un nuovo strumento online dedicato alle PMI.
Con poco più di 100 giorni prima dell'applicazione della nuova legge, la guida illustra ciò che la Commissione europea, le autorità nazionali per la protezione dei dati e le amministrazioni nazionali dovrebbero ancora fare per portare a termine con successo la preparazione.
Sebbene il nuovo regolamento preveda un'unica serie di norme direttamente applicabili in tutti gli Stati membri, richiederà comunque aggiustamenti significativi in alcuni aspetti, come la modifica delle leggi vigenti da parte dei governi dell'UE o l'istituzione del comitato europeo per la protezione dei dati da parte delle autorità di protezione dei dati. L'orientamento ricorda le principali innovazioni, le opportunità offerte dalle nuove norme, fa il punto sui lavori preparatori già intrapresi e delinea i lavori ancora in anticipo rispetto alla Commissione europea, alle autorità nazionali per la protezione dei dati e alle amministrazioni nazionali.
Nuovo quadro giuridico dell'UE in materia di protezione dei dati - maggiore protezione e nuove opportunità
Il regolamento continua a seguire l'impostazione della direttiva sulla protezione dei dati ma, basandosi su vent'anni di legislazione dell'UE in materia e di giurisprudenza pertinente, chiarisce e modernizza le norme concernenti tale protezione e introduce alcuni elementi innovativi che rafforzano la tutela dei diritti delle persone e offrono nuove opportunità per le imprese e le attività commerciali, in particolare:
- un quadro giuridico armonizzato che porta a un'applicazione uniforme delle norme a vantaggio del mercato unico digitale dell'Unione. Ciò significa un unico insieme di norme per i cittadini e le imprese, che rimedierà alla situazione attuale in cui gli Stati membri dell'Unione applicano le norme della direttiva in modi diversi. Per garantire un'applicazione uniforme e coerente in tutti gli Stati membri è stato introdotto un meccanismo di sportello unico;
- parità di condizioni per tutte le imprese che operano sul mercato dell'Unione. Il regolamento impone alle imprese con sede al di fuori dell'UE di applicare le stesse norme vigenti per le imprese stabilite nell'UE quando trattano dati personali in relazione all'offerta di beni e servizi o al monitoraggio del comportamento dei cittadini nell'Unione.
Le imprese che operano dall'esterno dell'UE e sono attive sul mercato unico devono, in determinate circostanze, nominare un rappresentante nell'UE al quale i cittadini e le autorità possano rivolgersi in aggiunta o in sostituzione dell'impresa con sede all'estero;
- i principi di protezione dei dati fin dalla progettazione e di protezione per impostazione predefinita, che creano incentivi ad adottare sin dall'inizio soluzioni innovative in risposta ai problemi di protezione dei dati;
- diritti dei singoli rafforzati. Il regolamento introduce nuovi requisiti in materia di trasparenza e diritti rafforzati in materia di informazione, accesso e cancellazione ("diritto
all'oblio"); il silenzio o l'inattività non saranno più considerati valide espressioni di consenso, in quanto è richiesto un atto positivo inequivocabile per esprimerlo; è garantita la protezione dei minori online;
- maggiore controllo dei singoli sui propri dati personali. Il regolamento stabilisce un nuovo diritto alla portabilità dei dati, che permette ai cittadini di chiedere a un'impresa o un'organizzazione la restituzione dei dati personali ad essa forniti sulla base del consenso o di un contratto; consente inoltre la trasmissione diretta di tali dati personali a un'altra impresa od organizzazione, se tecnicamente fattibile. Poiché permette la trasmissione diretta di dati personali da un'impresa od organizzazione a un'altra, tale diritto sosterrà anche la libera circolazione dei dati personali nell'UE, eviterà il "sequestro" di dati personali e incoraggerà la concorrenza tra imprese. Rendendo più facile peri cittadini passare da un fornitore di servizi all'altro si incoraggerà lo sviluppo di nuovi servizi nel contesto della strategia per il mercato unico digitale;
- maggiore protezione contro la violazione dei dati. Il regolamento stabilisce un insieme completo di norme sulle violazioni dei dati personali. Fornisce una chiara definizione di "violazione dei dati personali" e introduce un obbligo di notifica all'autorità di controllo entro 72 ore quando la violazione dei dati è suscettibile di presentare un rischio per i diritti e le libertà delle persone fisiche. In alcune circostanze, impone l'obbligo di informare l'interessato della violazione dei dati che lo riguardano. Queste disposizioni assicurano una protezione fortemente rafforzata rispetto alla situazione attuale nell'UE, in cui soltanto i fornitori di servizi di comunicazione elettronica, gli operatori di servizi essenziali e i fornitori di servizi digitali sono tenuti a comunicare le violazioni dei dati a norma, rispettivamente, della direttiva relativa alla vita privata e alle comunicazioni elettroniche e della direttiva sulla sicurezza delle reti e dell'informazione;
- il regolamento conferisce a tutte le autorità di protezione dei dati il potere di infliggere sanzioni pecuniarie ai titolari del trattamento e ai responsabili del trattamento. Attualmente non tutte le autorità godono di tale potere. La modifica favorirà una migliore applicazione delle norme. L'ammontare della sanzione pecuniaria può raggiungere 20 milioni di EUR o, nel caso di un'impresa, il 4% del fatturato mondiale annuo;
- maggiore flessibilità per i titolari del trattamento e i responsabili del trattamento che trattano dati personali, grazie a disposizioni univoche in materia di responsabilità (principio di responsabilizzazione). Il regolamento si discosta da un sistema di notifica in favore del principio di responsabilizzazione, attuato tramite obblighi modulabili in funzione del rischio (per esempio l'obbligo di designare un responsabile della protezione dei dati o l'obbligo di svolgere una valutazione d'impatto sulla protezione dei dati). Al fine di agevolare la valutazione del rischio prima di procedere al trattamento, è stato introdotto un nuovo strumento: la valutazione d'impatto sulla protezione dei dati. Quest'ultima è richiesta ogniqualvolta il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. A questo proposito, il regolamento indica espressamente tre situazioni: quando un'impresa valuta in modo sistematico e globale gli aspetti personali relativi a una persona (compresa la profilazione), quando un'impresa tratta dati sensibili su larga scala e quando un'impresa si occupa della sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Le autorità nazionali di protezione dei dati devono rendere pubblico l'elenco dei casi per i quali è richiesta la valutazione d'impatto sulla protezione dei dati;
- maggiore chiarezza riguardo agli obblighi dei responsabili del trattamento e alla responsabilità dei titolari del trattamento quando selezionano un responsabile del trattamento;
- un sistema di governance moderno per garantire un'applicazione più coerente ed efficace delle norme. Il sistema prevede poteri armonizzati per le autorità di protezione dei dati, anche per quanto riguarda le sanzioni pecuniarie, e nuovi meccanismi di cooperazione in rete tra tali autorità;
- la protezione dei dati personali garantita dal regolamento segue i dati al di fuori dell'UE assicurando un livello elevato di protezione. L'architettura delle norme sui trasferimenti internazionali del regolamento resta sostanzialmente identica a quella della direttiva del 1995, ma la riforma ne chiarisce e semplifica l'impiego e introduce nuovi strumenti per i trasferimenti. Per quanto riguarda le decisioni di adeguatezza, il regolamento introduce un catalogo preciso e dettagliato di elementi dei quali la Commissione deve tenere conto quando valuta se un sistema estero assicuri una protezione adeguata dei dati personali. Il regolamento inoltre formalizza e amplia il numero di strumenti di trasferimento alternativi, come le clausole contrattuali tipo e le norme vincolanti d'impresa.
Il nuovo regolamento per le istituzioni, gli organi, gli uffici e le agenzie dell'Unione e il regolamento sulla vita privata e le comunicazioni elettroniche, attualmente in corso di negoziazione, una volta adottati assicureranno che l'UE disponga di un insieme di norme complete ed efficaci in materia di protezione dei dati.
Nuovo strumento online che supporta l'applicazione pratica
http://ec.europa.eu/justice/smedataprotect/index_en.htm
La conoscenza dei vantaggi e delle opportunità offerte dalle nuove regole non è uniforme. In particolare, è necessario rafforzare la consapevolezza e accompagnare gli sforzi di conformità per le PMI.
La Commissione ha lanciato un nuovo strumento pratico online per aiutare i cittadini, le imprese, in particolare le PMI e altre organizzazioni a rispettare e beneficiare delle nuove norme sulla protezione dei dati.
La Commissione si impegnerà inoltre in eventi organizzati negli Stati membri per aiutare le parti interessate nei loro sforzi di preparazione e informare i cittadini sull'impatto del regolamento.
Il regolamento generale sulla protezione dei dati consente il libero flusso di dati attraverso il mercato unico digitale. Metterà meglio al sicuro la privacy degli europei e rafforzerà la fiducia e la sicurezza per i consumatori, mentre allo stesso tempo aprirà nuove opportunità per le imprese, specialmente quelle più piccole.
Prossimi passi
Nel periodo che precede il 25 maggio, la Commissione continuerà a sostenere attivamente gli Stati membri, le autorità per la protezione dei dati e le imprese per garantire che la riforma sia pronta per entrare in vigore.
Da maggio 2018 in poi, controllerà il modo in cui gli Stati membri applicano le nuove regole e intraprendono le azioni appropriate, se necessario. Un anno dopo l'entrata in vigore del regolamento (2019), la Commissione organizzerà un evento per fare il punto sulle diverse esperienze delle parti interessate in merito all'attuazione del regolamento. Ciò contribuirà anche alla relazione che la Commissione è tenuta a presentare entro maggio 2020 sulla valutazione e la revisione del regolamento.
Fonte: Commissione Europea
Collegati:
Il Responsabile della protezione dei dati: Regolamento (UE) 2016/679
Regolamento Privacy | Regolamento (UE) 2016/679