Dal prossimo 25 maggio diventerà pienamente efficace il c.d. “pacchetto protezione dati” europeo sulla privacy, approvato nell’aprile 2016 dal Parlamento Europeo al fine di definire e garantire un sistema ed un quadro normativo comune in tutti gli Stati membri in materia di protezione dei dati personali.
Dal punto di vista prettamente normativo, il “pacchetto” è composto da: Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che ha abrogato la direttiva 95/46/CE (regolamento generale sulla protezione dei dati); “Direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
La suddetta nuova normativa di fatto riscrive totalmente la disciplina della privacy a livello europeo - che nel nostro Paese è stata disciplinata sinora dal D.lgs. n. 196/2003, il c.d. “Codice della Privacy” - e va ad intervenire su aspetti quali il diritto d'accesso, il diritto alla rettifica ed alla cancellazione (c.d. diritto “all'oblio”) dei dati personali.
Tra le maggiori novità, oltre a quelle poc’anzi citate, sono da annoverarsi:
- l’introduzione di nuovi concetti quali quello di Accountability (i.e. attribuzione di responsabilità) rivolto a tutti i soggetti che collaborano nella gestione delle informazioni legate ai dati personali dei soggetti interessati dalla privacy;
- la necessità di tutti gli operatori pubblici e delle aziende di dotarsi di strumenti e procedure per documentare e controllare la conservazione e trasmissione dei dati personali, con particolare per quelli sensibili;
- l’introduzione del cd. Privacy Impact Assessment (ovvero il Documento di valutazione di impatto) che consiste sostanzialmente nell’analisi dei rischi potenziali legati al trattamento dei dati, con la previsione delle attività che possono presentare rischi specifici per i dati e i diritti dei soggetti coinvolti e la previsione delle tutele e soluzioni da predisporre in proposito;
- La figura specifica del Data Protection Officer (DPO) e cioè il Responsabile per la protezione del trattamento dei dati, soggetto che dovrà possedere specifici requisiti di professionalità, indipendenza ed autonomia di budget, con il compito fra l’altro di controllare il trattamento dei dati e di esserne il referente nei confronti dell’Autorità garante;
- l’informativa all’interessato dovrà essere semplice, chiara e precisa, in modo da garantire un maggior grado di consapevolezza del soggetto da informarsi e dovrà rivestire il contenuto individuato in maniera tassativa e specifica nel Regolamento stesso;
- il consenso dell’interessato dovrà essere esplicito, libero, specifico (a seguito dell’informativa fornita) ed inequivocabile;
- Nel caso in cui si verifichi una violazione dei dati personali (cd. “Data Breach”) scatterà l’obbligo di informare tempestivamente e comunque entro 72 ore dalla violazione stessa le autorità e le persone i cui dati sono stati violati.
Le sanzioni previste dal Regolamento europeo, comunque da applicarsi in ragione dei criteri di effettività, proporzionalità e dissuasività rispetto alla singola violazione, possono giungere ad importi elevati, fino a 20 milioni di euro ovvero al 4% del fatturato annuale.
Avv. Federico Cappa, Consulente legale FIMAA Torino