x

x

Impatti derivanti dalla proposta di nuovo Regolamento Europeo sulla protezione dei dati personali

Come noto agli specialisti in ambito protezione dei dati personali, il 25 gennaio 2012 la Commissione Europea ha presentato ufficialmente (si veda il Comunicato Stampa del Garante Privacy pubblicato in data 7 Febbraio 2012) la proposta di nuovo Regolamento Europeo che, andando a sostituire la direttiva 95/46/CE in materia di protezione dei dati e tutte le leggi privacy attualmente vigenti nei Paesi membri, uniformerà - armonizzandola - la disciplina privacy a livello europeo. I Regolamenti UE (in quanto “self-executing”) sono direttamente ed immediatamente esecutivi e non necessitano il recepimento da parte degli Stati membri (ex art. 288 comma 2 TFUE).

La rilevanza della proposta è tale che, anche l’ex Presidente del Garante Privacy, Francesco Pizzetti, nel suo discorso di conclusione del settennato (Sala Capitolare del Senato - 13 marzo 2012) ne ha richiamato taluni aspetti, soffermandosi, in particolare, sul tema del “diritto all’oblio” che “ha assunto un significato tanto maggiore quanto più la rete è diventata uno strumento di diffusione incontrollata e incontrollabile delle informazioni”.

Il testo del Regolamento ad oggi disponibile (l’iter è solo iniziato e ci vorrà da un anno a diciotto mesi prima di una sua approvazione in luogo del D. Lgs. 196/03, secondo la previsione fatta da Giovanni Buttarelli - Garante Europeo aggiunto - in occasione del Privacy Day Forum 2012 - Arezzo il 9 Maggio 2012) indica: un “upgrade” delle norme UE; un intervento su settori sino ad oggi solo sfiorati e/o maturati negli ultimi anni (tra cui ad esempio, internet; cloud computing; il già citato diritto all’oblio; l’obbligo di denuncia delle perdite/furto di dati; ecc.); una revisione in ambito sanzionatorio (ovvero, sanzioni calcolate sul fatturato aziendale).

Nel seguito viene fornita una sintesi, per punti distinti, dei principali e fondamentali impatti della proposta di nuovo Regolamento Europeo.

▪ Ambito delle Definizioni. Alcune definizioni vengono mutuate dalla direttiva 95/46/CE, altre sono modificate, integrate con elementi aggiuntivi, o introdotte ex novo come quelle relative ai “dati genetici”, ai “dati biometrici”, ai “dati relativi alla salute”, alla “violazione dei dati personali”.

Confini di applicabilità della normativa. Viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei comportamenti di cittadini UE.

▪ Istituzione di un “Privacy Officer”. Una delle principali novità presentate è che le Aziende con più di 250 dipendenti/collaboratori e tutti i soggetti pubblici, dovranno istituire una figura specifica (denominata ”Privacy Officer” o “Responsabile della Protezione dei dati”) tenuta, tra gli altri, ai seguenti compiti: sorvegliare l’attuazione e l’applicazione del regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i propri diritti. Il compito potrà essere affidato a dipendenti o a consulenti esterni in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, per un mandato rinnovabile e della durata di almeno due anni. Ogni altra funzione professionale del soggetto deputato a rivestire tale ruolo dovrà essere compatibile con i compiti e le funzioni dallo stesso esercitate in qualità di responsabile della protezione dei dati e dovranno essere tali da non dare adito a conflitto di interessi (il Privacy Officer dovrà quindi essere autonomo, indipendente e non ricevere alcuna istruzione per l’esercizio delle sue attività). Infine, stando sempre alla proposta di Regolamento, il Titolare del trattamento dovrà sostenere il “Privacy Officer” nell’esecuzione dei suoi compiti, mediante personale, locali, attrezzature e ogni altra risorsa necessaria a tal fine. Si può quindi dire che si va verso la nascita di una nuova categoria professionale che dovrà disporre di precise e specifiche competenze sia giuridiche che informatiche in ambito protezione dei dati personali. L’occasione è d’uopo per riattualizzare le parole dell’ex Presidente del Garante Privacy, Francesco Pizzetti, il quale, nel 2006, in occasione dell’ European Privacy Officers Forum - Epof (associazione che riunisce i Privacy Officers - figura già riconosciuta in altri Paesi europei ma non espressamente prevista al momento dalla normativa italiana - operanti all’interno di circa 35 società multinazionali con sede in Europa) affermava: "Vedo con molto favore l’istituzione della figura del Data Protection Officer specialmente per le aziende e le corporation medie e grandi. La diffusione di questa figura non potrebbe che aiutare l’azione del Garante e la diffusione stessa della privacy nell’ambito delle strutture di impresa" (rif. Newsletter del Garante N. 278 del 19 giugno 2006).

Ruolo proattivo dell’Azienda. Il Titolare del trattamento dovrà adottare politiche ed attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme (fin dalla fase embrionale) a tutte le disposizioni del Regolamento. Tali misure comprendono, in estrema sintesi: (a) la conservazione della documentazione ai sensi dell’articolo 28 (ndr: dell’attuale Regolamento); (b) l’attuazione dei requisiti di sicurezza dei dati di cui all’articolo 30; (c) l’esecuzione della valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 33; (d) il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell’autorità di controllo ai sensi dell’articolo 34, paragrafi 1 e 2; (e) la designazione del “Privacy Officer”. Il Titolare dovrà inoltre mettere in atto meccanismi per assicurare la verifica dell’efficacia delle misure di sopracitate. Qualora ciò sia proporzionato, tale verifica potrà essere effettuata da revisori interni o esterni indipendenti. In relazione a questo tema si può quindi dire che si assisterà ad un passaggio da un sistema di tipo formalistico quello attuale – ad uno di alta responsabilizzazione sostanziale.

Upgrade del quadro delle Sanzioni. Le sanzioni verranno rimodulate e, per i casi più gravi, si potrà arrivare a sanzioni pari al 2% del fatturato mondiale dell’Azienda.

▪ Principio della “Privacy by design”. Si tratta dell’esplicitazione del principio dell’incorporazione della privacy fin dalla progettazione del processo aziendale e degli applicativi informatici di supporto, ovvero messa in atto di meccanismi per garantire che siano trattati - di default - solo i dati personali necessari per ciascuna finalità specifica del trattamento.

▪ “Privacy impact assessment” preventivi. Valutazione degli impatti privacy fin dalla progettazione del processo aziendale e degli applicativi informatici di supporto, nei casi in cui il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenti rischi specifici per i diritti e le libertà degli interessati, in particolare per trattamenti quali: la valutazione sistematica e globale di aspetti della personalità dell’interessato o quelli volti ad analizzarne o prevederne in particolare la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento, basata su un trattamento automatizzato; oppure anche, i trattamenti di informazioni concernenti la vita sessuale, lo stato di salute, la razza e l’origine etnica; o ancora trattamenti destinati alla prestazione di servizi sanitari, a ricerche epidemiologiche, indagini su malattie mentali o infettive qualora i dati siano trattati per prendere misure o decisioni su larga scala riguardanti persone specifiche; o ancora la sorveglianza di zone accessibili al pubblico, in particolare se effettuata mediante dispositivi ottico-elettronici (videosorveglianza) su larga scala. Stando a quanto disposto dal Considerando n° 70 del Regolamento, verrà abolito l’obbligo di Notificazione all’Autorità di Controllo (Garante Privacy). Tale adempimento è considerato dal Legislatore come un obbligo che comporta oneri amministrativi e finanziari senza peraltro aver mai veramente contribuito a migliorare la protezione dei dati personali (in particolare per le piccole e medie imprese). È pertanto necessario (continua il testo del Regolamento) abolire tale obbligo generale di notificazione e sostituirlo con meccanismi e procedure efficaci che si concentrino piuttosto su quelle operazioni di trattamento che potenzialmente presentano rischi specifici per i diritti e le libertà degli interessati, per la loro natura, portata o finalità. In tali casi, è opportuno che il Titolare effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento che verta, in particolare, sulle misure, sulle garanzie e sui meccanismi previsti per assicurare la protezione dei dati personali e per comprovare il rispetto del Regolamento in analisi.

Obbligo di documentazione. È il principio di rendicontazione (o, ancora meglio, principio della c.d. "accountability"), secondo cui il Titolare del trattamento deve conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità, indicando obbligatoriamente - per ognuno di essi - una serie “nutrita” di informazioni, tali da assicurare e comprovare - per ciascuna operazione - la conformità alle disposizioni del Regolamento.

Obbligo di analisi dei rischi circa la sicurezza dei dati. Ovvero la messa in atto di una previa valutazione dei rischi, per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento, in particolare la comunicazione, la divulgazione, l’accesso non autorizzato o la modifica dei dati personali. Il Titolare deve valutare i rischi inerenti al trattamento e provvedere a limitarli. Tali provvedimenti devono assicurare un adeguato livello di sicurezza, tenuto conto degli sviluppi tecnici e dei costi di attuazione rispetto ai rischi che presentano i singoli trattamenti e alla natura dei dati da proteggere.

Obblighi di segnalazione di violazione sui dati personali (cc.dd. “personal data breaches”), per esempio in caso di perdita o furto di dati all’Autorità di controllo, ed in taluni casi addirittura anche all’interessato. Si intende una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati.“

A tal riguardo - con una lungimiranza sicuramente non dettata dal caso - va nella medesima direzione il recentissimo D.Lgs. 28 maggio 2012, n. 69 (e il successivo Provvedimento generale del Garante Privacy “Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali - Consultazione pubblica - 26 luglio 2012”) che - ponendosi l’obiettivo di consolidare il mercato interno dei 27 Paesi dell’Unione europea, attraverso una migliore tutela dei consumatori verso le violazioni dei dati personali ed il cd. “spam” - introduce a certe condizioni, in capo ai Fornitori di servizi di comunicazione elettronica, l’obbligo di notifiche per talune violazioni dei dati personali, secondo un’impostazione del tutto assimilabile a quella prevista nella proposta di Regolamento.

▪ Introduzione del “Diritto alla portabilità del dato”. È il riconoscimento sia del diritto dell’interessato a trasferire i propri dati (es. quelli relativi al proprio “profilo utente”) da un sistema di trattamento elettronico (es. Social Network) ad un altro (senza che il Titolare possa impedirlo) sia del diritto di ottenere gli stessi in un formato elettronico strutturato e di uso comune che consenta di farne ulteriore uso. Tale diritto dovrebbe trovare applicazione quando l’interessato ha fornito i dati al sistema di trattamento automatizzato acconsentendo al trattamento o in esecuzione di un contratto.

▪ “Diritto all’oblio” e gestione della conservazione del dato. Secondo questo impianto – nato per regolare la diffusione del dato nella “rete” - l’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione totale dei dati personali che lo riguardano e la rinuncia a una loro ulteriore diffusione. Per rafforzare il “diritto all’oblio” nell’ambiente on-line, il Titolare che ha pubblicato dati personali, potrà essere obbligato ad informare i terzi (che trattano i medesimi dati), della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Per garantire tale diritto, è necessario che il Titolare del trattamento prenda tutte le misure ragionevoli, anche di natura tecnica, in relazione ai dati della cui pubblicazione è responsabile.

In attesa che il testo finale e definitivo venga approvato dal Parlamento UE e dal Consiglio ci si può spingere a consigliare alle Aziende, in particolare a quelle di grandi dimensioni ed ai soggetti pubblici, di prepararsi - magari anticipando in veste di “best practice”- l’attuazione di alcune principi sopra esposti in vista dell’effettivo recepimento del Regolamento in analisi.

In particolare taluni soggetti (social network e motori di ricerca) saranno costretti (in applicazione dei principi della “privacy by design” e della “privacy by default”) a rivedere e “ristrutturare” le modalità di gestione dei dati e, di conseguenza, anche l’uso degli stessi (non si dimentichi, infatti, che la nuova normativa dovrebbe chiarire in maniera esplicita e definitiva che l’indirizzo IP è un dato personale).

Inoltre, dal momento che dovrà essere reso più facile agli interessati l’accesso ai propri dati personali - in relazione al citato “Diritto alla portabilità del dato” - e dovrà essere agevolato anche il trasferimento dei dati da un fornitore di servizi ad un altro, questo potrà comportare un miglioramento della concorrenza tra i servizi.

Il diritto all’oblio (“right to be forgotten”) potrà, poi, permettere di gestire meglio i rischi connessi alla protezione dei dati online: chiunque dovrà poter richiedere, ottenendolo, la possibilità di cancellare i propri dati se non sussistono motivi legittimi per mantenerli.

Infine, dal momento che le norme Ue si applicheranno anche ai dati personali trattati all’estero da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell’Unione, verrà accresciuta la tutela dei dati dei cittadini europei all’interno dell’“intangibile” spazio digitale. L’adozione di un Regolamento ovvierà alla frammentazione dei regimi giuridici di 27 Stati membri ed eliminerà gli ostacoli all’ingresso nel mercato, condizione di particolare importanza per le micro, piccole e medio imprese.

Stando a quanto sostenuto dalla Commissione Europea nella sua Comunicazione “Salvaguardare la privacy in un mondo interconnesso Un quadro europeo della protezione dei dati per il XXI secolo” (Bruxelles, 25.1.2012; COM(2012) 9 final) “[..] La riforma andrà innanzitutto a beneficio delle persone fisiche, rafforzando i loro diritti alla protezione dei dati e la loro fiducia nell’ambiente digitale; semplificherà inoltre notevolmente il quadro giuridico per le imprese e il settore pubblico. Ciò dovrebbe stimolare lo sviluppo dell’economia digitale in tutto il mercato interno dell’UE e oltre, in linea con gli obiettivi della strategia Europa 2020 e dell’Agenda digitale europea. Infine, la riforma aumenterà la fiducia tra le autorità di contrasto e faciliterà gli scambi di informazioni e la cooperazione tra le autorità stesse nella lotta contro le forme gravi di criminalità, garantendo nel contempo alle persone fisiche un livello elevato di protezione."

In conclusione, la speranza è quella che - tra breve - si possa fare affidamento ad un corpus normativo “al passo” coi tempi, abbandonando un repository normativo sempre più anacronistico e basato sull’impianto di una ormai ventennale direttiva europea.

Come noto agli specialisti in ambito protezione dei dati personali, il 25 gennaio 2012 la Commissione Europea ha presentato ufficialmente (si veda il Comunicato Stampa del Garante Privacy pubblicato in data 7 Febbraio 2012) la proposta di nuovo Regolamento Europeo che, andando a sostituire la direttiva 95/46/CE in materia di protezione dei dati e tutte le leggi privacy attualmente vigenti nei Paesi membri, uniformerà - armonizzandola - la disciplina privacy a livello europeo. I Regolamenti UE (in quanto “self-executing”) sono direttamente ed immediatamente esecutivi e non necessitano il recepimento da parte degli Stati membri (ex art. 288 comma 2 TFUE).

La rilevanza della proposta è tale che, anche l’ex Presidente del Garante Privacy, Francesco Pizzetti, nel suo discorso di conclusione del settennato (Sala Capitolare del Senato - 13 marzo 2012) ne ha richiamato taluni aspetti, soffermandosi, in particolare, sul tema del “diritto all’oblio” che “ha assunto un significato tanto maggiore quanto più la rete è diventata uno strumento di diffusione incontrollata e incontrollabile delle informazioni”.

Il testo del Regolamento ad oggi disponibile (l’iter è solo iniziato e ci vorrà da un anno a diciotto mesi prima di una sua approvazione in luogo del D. Lgs. 196/03, secondo la previsione fatta da Giovanni Buttarelli - Garante Europeo aggiunto - in occasione del Privacy Day Forum 2012 - Arezzo il 9 Maggio 2012) indica: un “upgrade” delle norme UE; un intervento su settori sino ad oggi solo sfiorati e/o maturati negli ultimi anni (tra cui ad esempio, internet; cloud computing; il già citato diritto all’oblio; l’obbligo di denuncia delle perdite/furto di dati; ecc.); una revisione in ambito sanzionatorio (ovvero, sanzioni calcolate sul fatturato aziendale).

Nel seguito viene fornita una sintesi, per punti distinti, dei principali e fondamentali impatti della proposta di nuovo Regolamento Europeo.

▪ Ambito delle Definizioni. Alcune definizioni vengono mutuate dalla direttiva 95/46/CE, altre sono modificate, integrate con elementi aggiuntivi, o introdotte ex novo come quelle relative ai “dati genetici”, ai “dati biometrici”, ai “dati relativi alla salute”, alla “violazione dei dati personali”.

Confini di applicabilità della normativa. Viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei comportamenti di cittadini UE.

▪ Istituzione di un “Privacy Officer”. Una delle principali novità presentate è che le Aziende con più di 250 dipendenti/collaboratori e tutti i soggetti pubblici, dovranno istituire una figura specifica (denominata ”Privacy Officer” o “Responsabile della Protezione dei dati”) tenuta, tra gli altri, ai seguenti compiti: sorvegliare l’attuazione e l’applicazione del regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i propri diritti. Il compito potrà essere affidato a dipendenti o a consulenti esterni in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, per un mandato rinnovabile e della durata di almeno due anni. Ogni altra funzione professionale del soggetto deputato a rivestire tale ruolo dovrà essere compatibile con i compiti e le funzioni dallo stesso esercitate in qualità di responsabile della protezione dei dati e dovranno essere tali da non dare adito a conflitto di interessi (il Privacy Officer dovrà quindi essere autonomo, indipendente e non ricevere alcuna istruzione per l’esercizio delle sue attività). Infine, stando sempre alla proposta di Regolamento, il Titolare del trattamento dovrà sostenere il “Privacy Officer” nell’esecuzione dei suoi compiti, mediante personale, locali, attrezzature e ogni altra risorsa necessaria a tal fine. Si può quindi dire che si va verso la nascita di una nuova categoria professionale che dovrà disporre di precise e specifiche competenze sia giuridiche che informatiche in ambito protezione dei dati personali. L’occasione è d’uopo per riattualizzare le parole dell’ex Presidente del Garante Privacy, Francesco Pizzetti, il quale, nel 2006, in occasione dell’ European Privacy Officers Forum - Epof (associazione che riunisce i Privacy Officers - figura già riconosciuta in altri Paesi europei ma non espressamente prevista al momento dalla normativa italiana - operanti all’interno di circa 35 società multinazionali con sede in Europa) affermava: "Vedo con molto favore l’istituzione della figura del Data Protection Officer specialmente per le aziende e le corporation medie e grandi. La diffusione di questa figura non potrebbe che aiutare l’azione del Garante e la diffusione stessa della privacy nell’ambito delle strutture di impresa" (rif. Newsletter del Garante N. 278 del 19 giugno 2006).

Ruolo proattivo dell’Azienda. Il Titolare del trattamento dovrà adottare politiche ed attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme (fin dalla fase embrionale) a tutte le disposizioni del Regolamento. Tali misure comprendono, in estrema sintesi: (a) la conservazione della documentazione ai sensi dell’articolo 28 (ndr: dell’attuale Regolamento); (b) l’attuazione dei requisiti di sicurezza dei dati di cui all’articolo 30; (c) l’esecuzione della valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 33; (d) il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell’autorità di controllo ai sensi dell’articolo 34, paragrafi 1 e 2; (e) la designazione del “Privacy Officer”. Il Titolare dovrà inoltre mettere in atto meccanismi per assicurare la verifica dell’efficacia delle misure di sopracitate. Qualora ciò sia proporzionato, tale verifica potrà essere effettuata da revisori interni o esterni indipendenti. In relazione a questo tema si può quindi dire che si assisterà ad un passaggio da un sistema di tipo formalistico quello attuale – ad uno di alta responsabilizzazione sostanziale.

Upgrade del quadro delle Sanzioni. Le sanzioni verranno rimodulate e, per i casi più gravi, si potrà arrivare a sanzioni pari al 2% del fatturato mondiale dell’Azienda.

▪ Principio della “Privacy by design”. Si tratta dell’esplicitazione del principio dell’incorporazione della privacy fin dalla progettazione del processo aziendale e degli applicativi informatici di supporto, ovvero messa in atto di meccanismi per garantire che siano trattati - di default - solo i dati personali necessari per ciascuna finalità specifica del trattamento.

▪ “Privacy impact assessment” preventivi. Valutazione degli impatti privacy fin dalla progettazione del processo aziendale e degli applicativi informatici di supporto, nei casi in cui il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenti rischi specifici per i diritti e le libertà degli interessati, in particolare per trattamenti quali: la valutazione sistematica e globale di aspetti della personalità dell’interessato o quelli volti ad analizzarne o prevederne in particolare la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento, basata su un trattamento automatizzato; oppure anche, i trattamenti di informazioni concernenti la vita sessuale, lo stato di salute, la razza e l’origine etnica; o ancora trattamenti destinati alla prestazione di servizi sanitari, a ricerche epidemiologiche, indagini su malattie mentali o infettive qualora i dati siano trattati per prendere misure o decisioni su larga scala riguardanti persone specifiche; o ancora la sorveglianza di zone accessibili al pubblico, in particolare se effettuata mediante dispositivi ottico-elettronici (videosorveglianza) su larga scala. Stando a quanto disposto dal Considerando n° 70 del Regolamento, verrà abolito l’obbligo di Notificazione all’Autorità di Controllo (Garante Privacy). Tale adempimento è considerato dal Legislatore come un obbligo che comporta oneri amministrativi e finanziari senza peraltro aver mai veramente contribuito a migliorare la protezione dei dati personali (in particolare per le piccole e medie imprese). È pertanto necessario (continua il testo del Regolamento) abolire tale obbligo generale di notificazione e sostituirlo con meccanismi e procedure efficaci che si concentrino piuttosto su quelle operazioni di trattamento che potenzialmente presentano rischi specifici per i diritti e le libertà degli interessati, per la loro natura, portata o finalità. In tali casi, è opportuno che il Titolare effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento che verta, in particolare, sulle misure, sulle garanzie e sui meccanismi previsti per assicurare la protezione dei dati personali e per comprovare il rispetto del Regolamento in analisi.

Obbligo di documentazione. È il principio di rendicontazione (o, ancora meglio, principio della c.d. "accountability"), secondo cui il Titolare del trattamento deve conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità, indicando obbligatoriamente - per ognuno di essi - una serie “nutrita” di informazioni, tali da assicurare e comprovare - per ciascuna operazione - la conformità alle disposizioni del Regolamento.

Obbligo di analisi dei rischi circa la sicurezza dei dati. Ovvero la messa in atto di una previa valutazione dei rischi, per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento, in particolare la comunicazione, la divulgazione, l’accesso non autorizzato o la modifica dei dati personali. Il Titolare deve valutare i rischi inerenti al trattamento e provvedere a limitarli. Tali provvedimenti devono assicurare un adeguato livello di sicurezza, tenuto conto degli sviluppi tecnici e dei costi di attuazione rispetto ai rischi che presentano i singoli trattamenti e alla natura dei dati da proteggere.

Obblighi di segnalazione di violazione sui dati personali (cc.dd. “personal data breaches”), per esempio in caso di perdita o furto di dati all’Autorità di controllo, ed in taluni casi addirittura anche all’interessato. Si intende una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati.“

A tal riguardo - con una lungimiranza sicuramente non dettata dal caso - va nella medesima direzione il recentissimo D.Lgs. 28 maggio 2012, n. 69 (e il successivo Provvedimento generale del Garante Privacy “Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali - Consultazione pubblica - 26 luglio 2012”) che - ponendosi l’obiettivo di consolidare il mercato interno dei 27 Paesi dell’Unione europea, attraverso una migliore tutela dei consumatori verso le violazioni dei dati personali ed il cd. “spam” - introduce a certe condizioni, in capo ai Fornitori di servizi di comunicazione elettronica, l’obbligo di notifiche per talune violazioni dei dati personali, secondo un’impostazione del tutto assimilabile a quella prevista nella proposta di Regolamento.

▪ Introduzione del “Diritto alla portabilità del dato”. È il riconoscimento sia del diritto dell’interessato a trasferire i propri dati (es. quelli relativi al proprio “profilo utente”) da un sistema di trattamento elettronico (es. Social Network) ad un altro (senza che il Titolare possa impedirlo) sia del diritto di ottenere gli stessi in un formato elettronico strutturato e di uso comune che consenta di farne ulteriore uso. Tale diritto dovrebbe trovare applicazione quando l’interessato ha fornito i dati al sistema di trattamento automatizzato acconsentendo al trattamento o in esecuzione di un contratto.

▪ “Diritto all’oblio” e gestione della conservazione del dato. Secondo questo impianto – nato per regolare la diffusione del dato nella “rete” - l’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione totale dei dati personali che lo riguardano e la rinuncia a una loro ulteriore diffusione. Per rafforzare il “diritto all’oblio” nell’ambiente on-line, il Titolare che ha pubblicato dati personali, potrà essere obbligato ad informare i terzi (che trattano i medesimi dati), della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Per garantire tale diritto, è necessario che il Titolare del trattamento prenda tutte le misure ragionevoli, anche di natura tecnica, in relazione ai dati della cui pubblicazione è responsabile.

In attesa che il testo finale e definitivo venga approvato dal Parlamento UE e dal Consiglio ci si può spingere a consigliare alle Aziende, in particolare a quelle di grandi dimensioni ed ai soggetti pubblici, di prepararsi - magari anticipando in veste di “best practice”- l’attuazione di alcune principi sopra esposti in vista dell’effettivo recepimento del Regolamento in analisi.

In particolare taluni soggetti (social network e motori di ricerca) saranno costretti (in applicazione dei principi della “privacy by design” e della “privacy by default”) a rivedere e “ristrutturare” le modalità di gestione dei dati e, di conseguenza, anche l’uso degli stessi (non si dimentichi, infatti, che la nuova normativa dovrebbe chiarire in maniera esplicita e definitiva che l’indirizzo IP è un dato personale).

Inoltre, dal momento che dovrà essere reso più facile agli interessati l’accesso ai propri dati personali - in relazione al citato “Diritto alla portabilità del dato” - e dovrà essere agevolato anche il trasferimento dei dati da un fornitore di servizi ad un altro, questo potrà comportare un miglioramento della concorrenza tra i servizi.

Il diritto all’oblio (“right to be forgotten”) potrà, poi, permettere di gestire meglio i rischi connessi alla protezione dei dati online: chiunque dovrà poter richiedere, ottenendolo, la possibilità di cancellare i propri dati se non sussistono motivi legittimi per mantenerli.

Infine, dal momento che le norme Ue si applicheranno anche ai dati personali trattati all’estero da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell’Unione, verrà accresciuta la tutela dei dati dei cittadini europei all’interno dell’“intangibile” spazio digitale. L’adozione di un Regolamento ovvierà alla frammentazione dei regimi giuridici di 27 Stati membri ed eliminerà gli ostacoli all’ingresso nel mercato, condizione di particolare importanza per le micro, piccole e medio imprese.

Stando a quanto sostenuto dalla Commissione Europea nella sua Comunicazione “Salvaguardare la privacy in un mondo interconnesso Un quadro europeo della protezione dei dati per il XXI secolo” (Bruxelles, 25.1.2012; COM(2012) 9 final) “[..] La riforma andrà innanzitutto a beneficio delle persone fisiche, rafforzando i loro diritti alla protezione dei dati e la loro fiducia nell’ambiente digitale; semplificherà inoltre notevolmente il quadro giuridico per le imprese e il settore pubblico. Ciò dovrebbe stimolare lo sviluppo dell’economia digitale in tutto il mercato interno dell’UE e oltre, in linea con gli obiettivi della strategia Europa 2020 e dell’Agenda digitale europea. Infine, la riforma aumenterà la fiducia tra le autorità di contrasto e faciliterà gli scambi di informazioni e la cooperazione tra le autorità stesse nella lotta contro le forme gravi di criminalità, garantendo nel contempo alle persone fisiche un livello elevato di protezione."

In conclusione, la speranza è quella che - tra breve - si possa fare affidamento ad un corpus normativo “al passo” coi tempi, abbandonando un repository normativo sempre più anacronistico e basato sull’impianto di una ormai ventennale direttiva europea.