Informativa

Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy.

Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la Cookies Policy.

Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie.

 
  • 20 set
  • 2016

Nuovo Regolamento Europeo sulla privacy

Avv. Mariaelena Giorcelli Redattore

Introduzione

Il 24 maggio 2016 è entrato in vigore il Regolamento 2016/679 relativo al trattamento dei dati personali delle persone fisiche, nonché alla libera circolazione di tali dati (nel seguito: “Regolamento Privacy”) che si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, abrogando, a decorrere da tale data, la Direttiva Ce 1995/46.

 

Finalità

Il Regolamento si propone di dettare una disciplina uniforme in materia di protezione dei dati personali, direttamente applicabile in tutti i paesi dell’Unione Europea al fine di aumentare il livello di protezione dei dati, ponendo maggiori obblighi in capo alle imprese in termini di compliance e aumentando considerevolmente i poteri delle autorità di controllo (in Italia, il Garante Privacy).

L’esigenza di aumentare il livello di protezione dei dati personali delle persone fisiche è stata in particolare dettata dall’evoluzione tecnologica e dalla globalizzazione che consentono con estrema facilità di accedere ad informazioni personali rese disponibili al pubblico dalle stesse persone fisiche su scala mondiale e dunque consentono con estrema facilità di raccogliere ed utilizzare le stesse. Accanto all’evoluzione tecnologica, il Regolamento Privacy considera altresì i rischi connessi ai trasferimenti di dati personali al di fuori dell’Unione ed in particolare il rischio che la persona fisica non possa esercitare il proprio diritto alla protezione dei dati per tutelarsi da usi o comunicazioni illeciti di tali informazioni.

 

Oggetto

Il Regolamento Privacy, come l’attuale codice della privacy (D.Lgs. 30/06/2003 n. 196) si applica solo alle persone fisiche, a prescindere dalla nazionalità o da luogo di residenza. Il trattamento dei dati personali relativi a persone giuridiche non è pertanto disciplinato.

 

Ambito di applicazione territoriale

Il Regolamento si applica, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione, al trattamento di dati personali effettuato dal titolare e/o responsabile stabilito nell’Unione Europea.

Inoltre, il Regolamento si applica al trattamento dei dati personali degli interessati che si trovano nell’Unione, anche se è effettuato da un titolare del trattamento o da un responsabile del trattamento non stabilito nell’Unione nei casi seguenti:

  1. quando il trattamento riguarda l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
  2. qualora il trattamento sia riferito al monitoraggio del comportamento degli interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

In tali ipotesi, salvo il caso in cui il trattamento sia occasionale purché non riguardi dati sensibili, il titolare o responsabile del trattamento non stabilito nell’Unione dovrà designare un rappresentante stabilito nell’Unione.

Le imprese stabilite in Paesi terzi, che concludono transazioni commerciali con soggetti dell’Unione (ad es. vendita di beni) saranno pertanto soggetti al Regolamento e dovranno aver cura di rispettarne le prescrizioni.

 

Trasferimenti di dati all’estero

Il Regolamento Privacy sancisce il principio della libera circolazione dei dati all’interno dell’Unione, prevedendo espressamente che la stessa non possa essere né limitata né vietata. Diversamente, il trasferimento dei dati in Paesi terzi non è consentito salvo che nei casi espressamente previsti dal Regolamento.

Non è necessaria una specifica autorizzazione ed il trasferimento in paesi terzi è consentito se la Commissione ha deciso che il paese terzo offre un livello di protezione adeguato (una lista aggiornata di tali paesi verrà resa disponibile sul sito web della Commissione e pubblicata nella Gazzetta Ufficiale).

Il trasferimento dei dati in paesi terzi è inoltre consentito nei casi in cui il titolare ha fornito garanzie adeguate con riguardo alla protezione dei dati e a condizione che gli interessati dispongano degli strumenti legali per poter tutelare i propri diritti. A questo proposito, costituiscono garanzie ritenute dal Regolamento adeguate, le norme vincolanti di impresa approvate da un’autorità di controllo, clausole “tipo” di protezione adottate dalla Commissione o da un’autorità di controllo e approvate dalla Commissione, codice di condotta, certificazioni ottenute in materia di protezione dei dati.

E’ inoltre possibile farsi autorizzare dall’autorità di controllo al trasferimento dei dati in un paese terzo, sottoponendo alla stessa clausole contrattuali disciplinanti la tutela dei dati.

In mancanza della decisione di adeguatezza della Commissione o di garanzie adeguate il trattamento è ammesso solo nel caso in cui: (i) l’interessato abbia espresso il proprio consenso dopo essere informato sui rischi del trasferimento dovuti in mancanza di una decisione di adeguatezza e di garanzie adeguate; (ii) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su richiesta dell’interessato; (iii) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto concluso tra il titolare del trattamento e un terzo a favore dell’interessato; (iv) il trasferimento sia necessario per importanti motivi di ordine pubblico, per tutelare interessi vitali dell’interessato o per esercitare e difendere un diritto in sede giudiziaria; (v) il trasferimento sia effettuato a partire da un registro che a norma del diritto dell’Unione o degli Stati membri sia diretto a fornire informazioni al pubblico e che sia pubblicamente consultabile.

Infine, qualora non ricorra alcuna di tali ipotesi, il trasferimento è consentito solo previa informazione da parte del titolare all’autorità di controllo, qualora: riguardi un numero limitato di interessati, sia necessario per perseguire gli interessi legittimi cogenti del titolare del trattamento su cui non prevalgono gli interessi o i diritti e le libertà dell’interessato, il titolare del trattamento abbia valutato tutte le circostanze relative al trasferimento e, sulla base di tale valutazione, abbia fornito garanzie adeguate relativamente alla protezione dei dati personali.

 

Consenso

Il consenso al trattamento deve essere espresso e specifico e la richiesta di consenso deve, a sua volta, essere chiara e concisa. Il silenzio e/o l’inattività non sono pertanto idonei a configurare un consenso. Qualora il trattamento abbia più finalità il consenso dovrebbe essere prestato specificatamente per tutte queste diverse finalità.

Nel caso di consenso prestato attraverso strumenti elettronici il Regolamento prevede che lo stesso possa essere validamente fornito selezionando un’apposita casella in un sito web. La preselezione di caselle sulle pagine web viene invece equiparata al silenzio e dunque non sarà ritenuto valido.

Viene introdotto il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica tuttavia la liceità del trattamento basata sul consenso prima della revoca.

 

Informativa

Anche il Regolamento impone l’obbligo di informativa agli interessati distinguendo le informazioni da fornire a seconda che i dati siano raccolti presso gli interessati (cfr. art. 13) o meno (cfr. art. 14). Occorrerà dunque adeguare le attuali informative avendo cura di verificare che il contenuto dell’informativa sia conforme a quello prescritto dal Regolamento.

Le informazioni da fornire agli interessati sono le stesse già previste dalla Direttiva CE 1995/46, con alcune integrazioni. Viene ad esempio introdotto l’obbligo di informare l’interessato del diritto di revocare in qualsiasi momento il proprio consenso, inoltre, qualora i dati non siano raccolti presso gli interessati, quest’ultimi dovranno essere informati sulla fonte da cui hanno origine i dati personali raccolti.

Il Regolamento prevede inoltre, che non sia obbligatorio fornire agli interessati l’informativa, qualora agli stessi sia già stata fornita, o nei casi in cui la registrazione o la comunicazione dei dati personali sono previste per legge o ancora qualora informare l’interessato si riveli impossibile o richieda uno sforzo sproporzionato.

 

Diritto di oblio e di rettifica

Viene sancito il diritto alla rettifica dei dati personali che riguardano un interessato e in particolare il diritto all’oblio, prevedendo che l’interessato abbia diritto a chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono state raccolti o altrimenti trattati.

Per rafforzare il diritto all’oblio nell’ambiente online, è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato dati personali a informare i titolari del trattamento, che trattano tali dati personali, di cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali.

 

Pseudonimizzazione

Un’altra novità introdotta dal Regolamento Privacy è il concetto di “pseudonimizzazione” configura una nuova categoria di dati che si pone a metà strada tra i dati identificativi e i dati anonimi. Per pseudonimizzazione si intende “il trattameno di dati personali in modo tale che i dati personali non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. La pseudonimizzazione viene considerata una misura di protezione dei dati, fortemente incoraggiata dal Regolamento.

 

Certificazione

Verranno istituiti meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati, di cui potranno avvalersi le imprese titolari del trattamento dei dati di persone fisiche allo scopo di dimostrare la conformità al presente regolamento dei trattamenti dagli stessi effettuati.

 

Conclusioni

Pur essendo già abituati a rispettare la disciplina dettata dal Codice Privacy italiano, nel nostro ordinamento con il Regolamento Privacy viene ulteriormente ampliata la disciplina a protezione dei dati personali. Dunque, sarà essenziale per le imprese che trattano dati personali di persone fisiche adeguarsi alle nuove norme, in particolare, adattando l’informativa e la richiesta di trattamento di dati personali all’interessato e valutando eventuali rischi di trasferimento dati in paesi terzi.

 

Avv. Mariaelena Giorcelli

 

torna indietro
Aree di attività correlate