Le Nuove Normative Europee - La Privacy Europea

Vai ai contenuti
Dal sito del Garante
Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.
La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.

Il testo arricchito con riferimenti ai Considerando
Il Garante per la protezione dei dati personali ha elaborato una versione "arricchita" del testo del Regolamento (UE) 2016/679, che - laddove necessario - segnala in corrispondenza di articoli e paragrafi i relativi "Considerando" di riferimento, in modo da offrire una lettura più ampia e ragionata delle previsioni introdotte dalla nuova normativa.

Privacy: la prima guida del Garante sul nuovo Regolamento Ue
Quali sono le principali novità contenute nel nuovo Regolamento europeo sulla protezione dei dati personali? Quali garanzie e diritti introduce per i cittadini? Quali responsabilità e semplificazioni sono previste per imprese ed enti?

La pagina contiene informazioni e altro materiale sulla figura delResponsabile della protezione dei dati (RPD) - Data Protection Officer (DPO) introdotta dal Regolamento (UE) 2016/679.
La pagina contiene informazioni e altro materiale sul diritto alla portabilità dei dati introdotto dal Regolamento (UE) 2016/679.
LLa pagina contiene informazioni e altro materiale sull'autorità di controllo capofila (Lead Supervisory Authority) prevista dal Regolamento (UE) 2016/679.
Pagina informativa sul Regolamento europeo in materia di protezione dei dati personali e sulla Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini
Regolamento Privacy UE: prima guida del Garante
Pubblicata una guida dell'Authority per la privacy sulle novità del nuovo Regolamento UE. Nuovo e-book anche di Ipsoa per fornire un primo quadro sulla normativa comunitaria che sarà definitivamente applicabile dal 25 maggio 2018. Multe fino a 20 milioni di euro o al 4% del fatturato del trasgressore.
 E' già passato un mese dall'entrata in vigore del nuovo Regolamento UE 2016/679 sulla protezione dei dati personali, e il Garante ha adesso pubblicato una prima guida informativa, che è possibile scaricare cliccando il link sottostante.
Si tratta di una pubblicazione digitale contenente una panoramica generale delle novità introdotte dalla normativa comunitaria, che il 25 maggio 2018 sarà definitivamente applicabile anche in Italia al posto dell'attuale Codice della Privacy. (Dlgs 196/2003)
Marketing diretto senza consenso: più facile se c'è il legittimo interesse
L'attività promozionale costituisce un legittimo interesse dell'imprenditore, che deve comunque rispettare le norme a protezione dei dati (dall'informativa al diritto di opposizione degli interessati e alle misure di sicurezza). Il bilanciamento degli interessi è opera del regolamento europeo sulla protezione dei dati (n. 679/2016), entrato in vigore il 24 maggio 2016, ma operativo dal 25 maggio 2018.

Il regolamento fissa una nuova griglia di condizioni di legittimità del trattamento. Oltre al consenso e ai casi in cui il trattamento è direttamente previsto da una norma, il regolamento in esame prevede che il legittimo interesse del titolare del trattamento sia condizione sufficiente a giustificare il trattamento. Il regolamento non fornisce un elenco tassativo dei casi di legittimo interesse, anche se dà alcuni esempi. Tra questi casi è indicato il marketing diretto.
Per avere una indicazione sul concetto di legittimo interesse e altri esempi una fonte autorevole è il parere n. 6 del Gruppo europeo di Lavoro Privacy denominato «articolo 29».
Rispetto all'ordinamento italiano la novità del regolamento europeo riguarda in particolare il marketing postale e quello realizzato attraverso utenze non registrate negli elenchi (per queste ultime vale già il regime dell'opt out tramite il registro delle opposizioni).

Ma cerchiamo di approfondire l'argomento.

L'articolo 6 del regolamento europeo prevede che il trattamento dei dati è lecito, tra altre ipotesi, quando è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

La norma è spiegata dal considerando n. 47 (premesso all'articolato).

Due le esemplificazioni delle premesse al regolamento: costituisce legittimo interesse trattare dati personali strettamente necessari a fini di prevenzione delle frodi; infine può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.
Tuttavia l'esonero dal consenso non è un lasciapassare incondizionato. Il regolamento prevede, infatti, che, qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato ha il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale trattamento, sia con riguardo a quello iniziale o ulteriore, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.

Fonte: Italia Oggi del  1° giugno 2016 - Articolo a cura di Antonio Ciccia Messina
Obbligatori i corsi di Privacy
Obbligatori corsi privacy per dipendenti pubblici e privati. E anche i professionisti esterni, che lavorano per la p.a. o per un’azienda, dovranno dimostrare la loro conoscenza delle disposizioni sulla protezione dei dati personali.

Il regolamento europeo sulla privacy, n. 679/2016, prescrive ai titolari di trattamento (aziende e pubbliche amministrazioni) di far seguire dai propri collaboratori appositi corsi per acquisire conoscenze sulla normativa europea e nazionale in materia di protezione dei dati.
La norma di riferimento è l’articolo 29 del regolamento europeo, secondo cui il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli stati membri. Bisogna fare comunque uno sforzo per capire il linguaggio tecnico utilizzato. La traduzione è che chi tratta dati personali nell’ambito di un ente pubblico o di una organizzazione di impresa deve essere stato istruito e deve dimostrare di conoscere gli adempimenti di privacy. L’obbligo è particolarmente cogente. Si pensi all’articolo 83, paragrafo 4, del regolamento, che assoggetta, tra le altre, la violazione dell’articolo 29 alla sanzione amministrativa pecuniaria fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Fonte: Italia oggi - Antonio Ciccia Messina
PRIVACY - Il nuovo Regolamento Europeo pienamente in vigore dal 25 maggio 2018
Potete scaricare il file in formato pdf





Privacy: nuovi adempimenti per professionisti ed imprese nel regolamento UE
Il regolamento UE sulla protezione dei dati, approvato il 14 aprile 2016 dal Parlamento Europeo e in attesa di pubblicazione sulla Gazzetta Ufficiale Europea, delinea un nuovo quadro normativo che dovrebbe portare maggiore uniformità e, soprattutto, dovrebbe essere più adatto alla rivoluzione portata dalle tecnologie digitali. Il regolamento è un documento complesso, che riunisce in un unico corpus temi eterogenei tra loro. Vi saranno nuovi adempimenti per professionisti ed imprese? E’ necessario pensare ad una riorganizzazione di studi e imprese più “privacy-centrica”?
A vent’anni esatti dalla prima legge italiana sulla privacy, la n. 675 del 1996, poi sostituita dal Codice Privacy nel 2003, il tema della protezione dei dati sembra vivere una seconda giovinezza proprio in questi giorni a causa di un’improvvisa accelerazione, a livello di Unione Europea, nell’approvazione di un nuovo quadro normativo che dovrebbe portare maggiore uniformità e, soprattutto, che dovrebbe essere più adatto alla rivoluzione portata dalle tecnologie digitali.
Regolamento UE sulla protezione dei dati
Al centro della discussione c’è un Regolamento che, finalmente, è stato approvato il 14 aprile 2016 dal Parlamento Europeo dopo diversi anni di discussione e non poche polemiche e circa una settimana dopo che anche il Consiglio dell’Unione Europea aveva deliberato in tal senso.
Già definito dagli esperti come il Regolamento UE sulla protezione dei dati, o “regolamento privacy europeo”, si presenta come un documento assai complesso, di quasi trecento pagine tra premesse e articoli veri e propri, che è stato pensato per abrogare una vecchia Direttiva, la n. 46 del 1995, che ebbe però il merito di disciplinare per prima il delicato tema del trattamento dei dati personali.

Leggi anche:

Ora, circa l’impatto che avrà questo nuovo quadro normativo e, soprattutto, i tempi e i modi d’implementazione sul nostro tessuto nazionale, sono sorti alcuni dubbi.
I dubbi che interessano l’interprete riguardano, in particolare, il passato, il presente e il futuro.
Circa il passato, i primi problemi saranno di armonizzare un nuovo quadro con le norme esistenti.
In Italia, si diceva, è dal 1996 che esiste una normativa sulla protezione dei dati personali che, però, ha avuto una vita abbastanza complessa e travagliata e non sempre lineare. È stata spesso “emendata” in corsa, poi sostituita dal Codice Privacy, poi “affiancata” da provvedimenti del Garante che hanno meglio specificato alcuni settori e, infine, è stata cesellata anche da diverse pronunce della giurisprudenza di merito.
Questo per dire che, pur con tutti i difetti (si pensi al mancato aggiornamento delle disposizioni sulle misure minime di sicurezza), in due decenni si è creata una stratificazione molto solida nella disciplina italiana che si dovrà per forza adeguare, armonizzare e coordinare con le novità che saranno introdotte.
Nessuno può sapere, ora, se tale adattamento sarà indolore e quasi automatico o se richiederà interventi “in corsa” di dettaglio per evitare conflitti o aporie.
Il presente, invece, riguarda il testo del Regolamento che è stato approvato in questi giorni e che è disponibile anche in una versione in lingua italiana sul sito dell’Unione Europea.
Due anni per adeguarsi al regolamento
Una prima lettura lo presenta come un documento estremamente complesso, che riunisce in un unico corpus temi assai eterogenei tra loro (la tutela del privato ma anche dell’impresa, l’attenzione alla società dell’informazione ma anche alle banche di dati tradizionali, un richiamo ai principi fondamentali e alla dignità della persona ma anche un confronto costante con ciò che la società tecnologica oggi domanda in un’ottica di apertura, circolazione e interoperabilità dei dati).
Gran parte dei principi indicati nel testo si potranno valutare solo quando vi sarà la messa alla prova, in concreto, nel prossimo futuro.
E circa il futuro, appunto, in attesa di una prossima pubblicazione sulla Gazzetta Ufficiale Europea auspicata già entro maggio, è stato previsto un termine di 24 mesi dall’entrata in vigore per l’applicazione dei principi in ogni singolo Stato membro. Ciò è interessante: è stato lasciato untermine abbastanza ampio (anche se due anni passano in fretta…) per cercare di coordinare il nuovo quadro normativo sia con l’esistente, sia per raggiungere posizioni comuni sui vari dubbi che già si stanno prospettando.
Si aggiunga, al quadro fumoso appena descritto, l’esistenza d’innumerevoli provvedimenti di vario tipo, ormai, del Garante italiano e i lavori in corso su una nuova direttiva europea sulla e-privacy.
Impatti per il professionista e per l’impresa
Come comportarsi, quindi, in un quadro così fluido? Posto che le sorprese possono essere, nei prossimi mesi, all’ordine del giorno, sicuramente è opportuno, in primo luogo, uno studio accurato delle varie parti del Regolamento, concentrandosi sui punti d’immediato interesse per il singolo o per il professionista e l’impresa.
L’analisi andrebbe fatta tenendo sempre a mente il quadro italiano e l’attuale disciplina. Ciò permette di comprendere se vi saranno nuovi adempimenti o se le prassi sinora utilizzate potranno ancora essere considerate valide.
Lo studio accurato dovrebbe, poi, iniziare a far pensare (nel caso ce ne fosse bisogno) a una nuovariorganizzazione del tessuto imprenditoriale che sia più “privacy-centrica” e a prevedere, se del caso, nuove figure professionali in questo ambito.
Questo è un tema molto spinoso, dato che ruota attorno alla figura del cosiddetto “privacy officer” (ma non solo) che sta creando non pochi problemi di interpretazione (anche etimologica).
La previsione di nuove unità di personale o di consulenti ad hoc (che siano interni o esterni) è sempre stato un punto dolente di tutto il sistema, soprattutto in periodo di crisi generalizzata dell’economia (dove i primi tagli sono di solito fatti, proprio, sulla sicurezza).
Siamo in un periodo storico, in definitiva, di profondo mutamento che però richiede molta calma e accortezza nell’approccio.
Da un lato occorre un aggiornamento costante, quasi quotidiano, su ciò che accadrà nei prossimi mesi senza, però, prendere già decisioni drastiche organizzative o tecniche (vi sono due anni di tempo).
Dall’altro occorre, per certi versi, prevedere che impatto avrà la nuova normativa sulla realtà concreta che ci interessa: se avrà bisogno solo di piccoli aggiustamenti o se richiederà, invece, un mutamento organizzativo radicale.
di Giovanni Ziccardi - Professore Associato di Informatica Giuridica presso la facoltà di Giurisprudenza dell’Università degli Studi di Milano
Torna ai contenuti