Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva, che dovrà essere recepita dagli Stati membri entro 2 anni.
Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento.
Il tutto si presenta come un insieme di regole e di prescrizioni complesso, volto a disciplinare la protezione dei dati in un contesto transfrontaliero di scambi. Con l’obiettivo di fornire un quadro coerente e sistematico per l’armonizzazione e la circolazione dei dati personali, per il trattamento pubblico e privato di dati medesimi nel territorio dell’Unione.
La disciplina affronta e regola in maniera più specifica di quanto non sia stato fatto finora dalle norme interne nazionali, anche il traffico dei dati in ambito digital che è notoriamente ritenuto non scevro di insidie.
L’impianto normativo europeo prevede in taluni casi la riproduzione della normativa esistente, in altri casi l’integrazione e la modifica, nonché l’introduzione di nuovi istituti. Di fronte a tutto dovranno confrontarsi professionisti, enti, soggetti privati e imprese, operatori in genere.
Molto sinteticamente, tra le novità principali: il c.d. diritto all’oblio, la figura c.d. Data Protection Officer (“DPO”) o responsabile della protezione dei dati (similarmente a quanto previsto dalla normativa 231/01), il diritto alla portabilità dei dati, le notificazioni delle violazioni alle autorità nazionali e anche agli stessi utenti nei casi più gravi (data breaches), l’introduzione del registro delle attività di trattamento, la valutazione di impatto sulla protezione dei dati, le modalità di accesso ai propri dati personali più facili per gli interessati, il meccanismo del “one-stop-shop”, con il quale le imprese avranno a che fare con un’unica autorità di vigilanza, e il concetto di “privacy by design” nonché di “privacy by default”.
Si tratta di un complesso di norme potenzialmente in grado di assicurare maggior tutela per il soggetto interessato dal trattamento dei dati, caratterizzate da particolare rigore, da adempimenti corredati da sanzioni aumentate rispetto a quanto attualmente siamo sottoposti.
Le aziende avranno sempre più necessità di avvalersi di professionisti preparati per dialogare tra una nazione e l’altra sotto l’applicazione di un unico corpo normativo; che, si badi, dovrà essere rispettato anche dalle aziende che hanno sede al di fuori dell’Unione Europea.
L’apporto del professionista e in particolare del legale risulta di primario rilievo e fondamentale per sovraintendere tutti i processi che riguardino il trattamento delle informazioni all’interno dell’azienda, per l’adeguata analisi dei rischi, per l’accompagnamento nelle attività di profilazione e per individuare limiti e garanzie. Non ultimo, per l’esercizio di diritti a tutela che le norme permettono.
Prima di concludere, una breve nota statistica. Da ricerca e rapporto Censis si registra come il 96,2% degli italiani ritenga la riservatezza un “diritto inviolabile” e il 93% abbia timore di vedere attaccata la propria privacy on line. Si deduce la sentita necessità di adottare regole di protezione più stringenti e protezionistiche, nelle previsioni e nelle sanzioni.
In conclusione, siamo di fronte a un evidente mutamento nell’approccio al tema privacy attraverso l’introduzione di un obbligo di compliance. Nei due anni che ci separano dall’entrata in vigore, una volta avvenuto l’adeguamento da parte del legislatore italiano alle nuove norme che andranno a sostituire il vigente codice privacy italiano dopo ben diciannove anni dalla sua prima entrata in vigore, si tratterà indi di portare alla pratica applicazione il complesso previsionale di norme, superati i problemi di coordinamento e di interpretazione giuridica che inevitabilmente si porranno.
Le attuali norme europee di riferimento:
– Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
– Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.