x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

È in vigore il nuovo regolamento generale sulla protezione dei dati

Altri articoli dell'autore

Diritto /

Apple’s Appeal Against Gatekeeper’s Designation: Device-Specificity or Neutrality?

Diritto /

Il Code of Practice on Disinformation dell’UE: tentativi in fieri di contrasto alle fake news

Diritto /

I requisiti per la nomina del Data Protection Officer e la certificazione Lead Auditor ISO 27001

Di Laura Liguori

Abstract

Lo scorso 4 maggio è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo “Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (il “Regolamento”).

Il Regolamento è entrato in vigore il 24 maggio e si applicherà a decorrere dal 25 maggio 2018, data a partire dalla quale dovrà essere necessariamente garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dei dati e le disposizioni del Regolamento. Come noto, il Regolamento abroga la Direttiva 95/46/CE (la “Direttiva Privacy”), attuata in Italia prima con la legge 675/96 e successivamente con il D.lgs. 196/2003, e si applicherà direttamente in tutti gli Stati Membri senza necessità di un intervento legislativo dei medesimi a tal fine.

 

I motivi dell’adozione di un Regolamento

Lo strumento del regolamento è stato utilizzato proprio per far fronte alle critiche che, negli anni, sono sempre state mosse alla Direttiva Privacy, che invece, in quanto “direttiva”, è stata attuata con sostanziali differenze nei vari Stati Membri dell’Unione Europea. Come facilmente intuibile, questo ha di fatto determinato una scarsa armonizzazione tra le normative dei vari Stati Membri e per tanto il 25 gennaio del 2012 la Commissione Europea ha proposto una sua bozza di Regolamento, che è stata oggetto di analisi e discussione tra le Istituzioni europee negli ultimi sei anni, fino alla sua definitiva approvazione lo scorso 14 aprile.

La Direttiva Privacy fu adottata quando Internet non era ancora molto diffuso; per non parlare poi dei social network, delle app o dell’Internet of Things (l’Internet delle cose – cioè la possibilità per oggetti comuni di essere connessi a Internet e raccogliere enormi quantità di dati relativi ai comportamenti e alle abitudini delle persone) che nemmeno esistevano. Le tecnologie che si sono diffuse negli ultimi anni e la internazionalizzazione dei flussi di dati hanno significativamente aumentato il rischio per gli individui di diminuire o perdere il controllo sui propri dati.

Ebbene: il Regolamento cerca di dare risposte ad alcune di queste sfide, anche se naturalmente non mancano i dubbi interpretativi.

Ambito di applicazione

Il Regolamento si applica a tutti i trattamenti che siano effettuati da un titolare stabilito nel territorio dell’Unione Europea, nonché da tutti i soggetti (titolari o responsabili) stabiliti fuori dall’Unione Europea nel caso in cui il trattamento abbia ad oggetto i dati personali di interessati che si trovano nell’Unione Europea e riguardi l’offerta di beni o servizi, indipendentemente dalla obbligatorietà del pagamento, o il monitoraggio di comportamenti che hanno luogo nell’Unione.

Si supera quindi il criterio dell’esistenza di “strumenti, automatizzati o non automatizzati” situati nell’Unione Europea attraverso il quale si stabiliva l’ambito di applicazione delle leggi nazionali (art. 4, par. 1, lett. c) della Direttiva Privacy).

Questo significa, dunque, che tutti gli operatori di siti o app che offrono beni o servizi nell’UE o funzionalità in grado di monitorare i comportamenti di navigazione o l’utilizzo di determinati servizi da parte di persone fisiche che si trovano nell’Unione Europea saranno soggetti al Regolamento indipendentemente dall’uso, da parte di questi operatori, di strumenti situati nell’Unione.

Alcune novità

Il Regolamento introduce anche una serie di obblighi nuovi per le imprese che trattano dati personali, in un’ottica di maggiore tutela per gli interessati. Vanno in questa direzione l’obbligo di protezione dei dati fin dalla progettazione (“Privacy by Design”) e di protezione per impostazione predefinita (“Privacy by Default”).

L’informativa e il consenso espresso dell’interessato restano i principi cardine per la protezione dei dati personali, se pure con alcune specificazioni: ad esempio, nel caso in cui esista un processo decisionale automatizzato che riguardi l’interessato (ad esempio in caso di profilazione) l’informativa dovrà contenere anche i dettagli sulla logica utilizzata e le conseguenze di tale trattamento per l’interessato.

Il Regolamento contiene previsioni sul diritto degli interessati di accesso e rettifica dei dati personali che li riguardano, e introduce nuovi diritti che non erano previsti espressamente dalla Direttiva – come, ad esempio:

  • il diritto alla cancellazione (detto anche diritto all’oblio, e cioè ad ottenere che i dati siano cancellati senza ritardo se non sono più necessari per le finalità per i quali sono stati raccolti o trattati oppure in caso di revoca del consenso); e
  • il diritto alla portabilità dei dati (vale a dire il diritto a ricevere i dati forniti a un titolare in un formato di uso comune e leggibile al fine di trasmetterli ad altro titolare senza impedimenti da parte del precedente titolare).

Conclusioni

Le imprese che trattano dati personali avranno due anni per adeguarsi ad una nuova normativa che si inserisce su quella esistente, la quale, a meno che non sia oggetto di una specifica abrogazione, continuerà ad esistere ed essere applicabile.

Nei prossimi mesi lo sforzo sarà quello di prepararsi a queste nuove previsioni e dissipare i dubbi interpretativi dovuti alla coesistenza di norme diverse che regolano gli stessi fenomeni, anche tenendo conto dei numerosi provvedimenti adottati dal Garante nei venti anni di protezione dei dati personali in Italia.

Di Laura Liguori

Abstract

Lo scorso 4 maggio è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo “Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (il “Regolamento”).

Il Regolamento è entrato in vigore il 24 maggio e si applicherà a decorrere dal 25 maggio 2018, data a partire dalla quale dovrà essere necessariamente garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dei dati e le disposizioni del Regolamento. Come noto, il Regolamento abroga la Direttiva 95/46/CE (la “Direttiva Privacy”), attuata in Italia prima con la legge 675/96 e successivamente con il D.lgs. 196/2003, e si applicherà direttamente in tutti gli Stati Membri senza necessità di un intervento legislativo dei medesimi a tal fine.

 

I motivi dell’adozione di un Regolamento

Lo strumento del regolamento è stato utilizzato proprio per far fronte alle critiche che, negli anni, sono sempre state mosse alla Direttiva Privacy, che invece, in quanto “direttiva”, è stata attuata con sostanziali differenze nei vari Stati Membri dell’Unione Europea. Come facilmente intuibile, questo ha di fatto determinato una scarsa armonizzazione tra le normative dei vari Stati Membri e per tanto il 25 gennaio del 2012 la Commissione Europea ha proposto una sua bozza di Regolamento, che è stata oggetto di analisi e discussione tra le Istituzioni europee negli ultimi sei anni, fino alla sua definitiva approvazione lo scorso 14 aprile.

La Direttiva Privacy fu adottata quando Internet non era ancora molto diffuso; per non parlare poi dei social network, delle app o dell’Internet of Things (l’Internet delle cose – cioè la possibilità per oggetti comuni di essere connessi a Internet e raccogliere enormi quantità di dati relativi ai comportamenti e alle abitudini delle persone) che nemmeno esistevano. Le tecnologie che si sono diffuse negli ultimi anni e la internazionalizzazione dei flussi di dati hanno significativamente aumentato il rischio per gli individui di diminuire o perdere il controllo sui propri dati.

Ebbene: il Regolamento cerca di dare risposte ad alcune di queste sfide, anche se naturalmente non mancano i dubbi interpretativi.

Ambito di applicazione

Il Regolamento si applica a tutti i trattamenti che siano effettuati da un titolare stabilito nel territorio dell’Unione Europea, nonché da tutti i soggetti (titolari o responsabili) stabiliti fuori dall’Unione Europea nel caso in cui il trattamento abbia ad oggetto i dati personali di interessati che si trovano nell’Unione Europea e riguardi l’offerta di beni o servizi, indipendentemente dalla obbligatorietà del pagamento, o il monitoraggio di comportamenti che hanno luogo nell’Unione.

Si supera quindi il criterio dell’esistenza di “strumenti, automatizzati o non automatizzati” situati nell’Unione Europea attraverso il quale si stabiliva l’ambito di applicazione delle leggi nazionali (art. 4, par. 1, lett. c) della Direttiva Privacy).

Questo significa, dunque, che tutti gli operatori di siti o app che offrono beni o servizi nell’UE o funzionalità in grado di monitorare i comportamenti di navigazione o l’utilizzo di determinati servizi da parte di persone fisiche che si trovano nell’Unione Europea saranno soggetti al Regolamento indipendentemente dall’uso, da parte di questi operatori, di strumenti situati nell’Unione.

Alcune novità

Il Regolamento introduce anche una serie di obblighi nuovi per le imprese che trattano dati personali, in un’ottica di maggiore tutela per gli interessati. Vanno in questa direzione l’obbligo di protezione dei dati fin dalla progettazione (“Privacy by Design”) e di protezione per impostazione predefinita (“Privacy by Default”).

L’informativa e il consenso espresso dell’interessato restano i principi cardine per la protezione dei dati personali, se pure con alcune specificazioni: ad esempio, nel caso in cui esista un processo decisionale automatizzato che riguardi l’interessato (ad esempio in caso di profilazione) l’informativa dovrà contenere anche i dettagli sulla logica utilizzata e le conseguenze di tale trattamento per l’interessato.

Il Regolamento contiene previsioni sul diritto degli interessati di accesso e rettifica dei dati personali che li riguardano, e introduce nuovi diritti che non erano previsti espressamente dalla Direttiva – come, ad esempio:

  • il diritto alla cancellazione (detto anche diritto all’oblio, e cioè ad ottenere che i dati siano cancellati senza ritardo se non sono più necessari per le finalità per i quali sono stati raccolti o trattati oppure in caso di revoca del consenso); e
  • il diritto alla portabilità dei dati (vale a dire il diritto a ricevere i dati forniti a un titolare in un formato di uso comune e leggibile al fine di trasmetterli ad altro titolare senza impedimenti da parte del precedente titolare).

Conclusioni

Le imprese che trattano dati personali avranno due anni per adeguarsi ad una nuova normativa che si inserisce su quella esistente, la quale, a meno che non sia oggetto di una specifica abrogazione, continuerà ad esistere ed essere applicabile.

Nei prossimi mesi lo sforzo sarà quello di prepararsi a queste nuove previsioni e dissipare i dubbi interpretativi dovuti alla coesistenza di norme diverse che regolano gli stessi fenomeni, anche tenendo conto dei numerosi provvedimenti adottati dal Garante nei venti anni di protezione dei dati personali in Italia.

Articoli più letti su questo argomento

Diritto /

I contratti tra Social Networks e utenti e il reimpiego dei dati di navigazione

Diritto /

Gli apporti di know how nelle società di capitali

Diritto /

Identità e profilazione digitale: i rischi dei Big Data

Newsletter Abbonamenti