Data Protection e Reg. UE 2016/679: la privacy secondo l’Europa

“Niente di personale”,  foto di Valeria Tessaris
“Niente di personale”, foto di Valeria Tessaris

Nel 2017 il mondo e il suo modo di comunicare sono ampiamente cambiati rispetto all’ormai lontano 2003 ed il Codice della Privacy. Certamente i sistemi informatici sono sempre più evoluti e la loro velocità si percepisce sempre più anche nel campo del trattamento e trasmissione dei dati personali. L’importante, ma ormai spesso vetusto, Codice della privacy, seppur sia sempre un testo “luce” in materia di privacy e trattamento di dati personali, in alcuni dei suoi articoli risulta superato dai tempi più recenti solcati dalle novità informatiche e legislative.

Da un punto di vista filo-giuridico è interessante considerare che nel quotidiano “il dato sensibile” di per sè è così fondamentale in quanto vi è una sorta di duplice tesi: “io sono i miei dati” oppure “io ho i miei dati”. La prima tesi è riconducibile ad una visione personalistica, la seconda ad una tesi avente come protagonista il concetto di proprietà.

Proprio per questo motivo l’Unione Europea ha ben pensato di aggiornarsi e di dare per la prima volta, in modo fermo e deciso, delle linee guida più specifiche e consapevoli nel campo Data Protection. Lo scopo appena delineato si è concretizzato nel Regolamento UE 2916/679. Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) il Regolamento europeo in materia di protezione dei dati personali e la Direttiva inerente i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva, che dovrà essere recepita dagli Stati membri entro 2 anni. Infine, il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento, che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, ma siamo davvero pronti per tutte le novità che questo Regolamento porta con sé? E cosa più importante, il legislatore italiano e quello Europeo riusciranno ad andare d’accordo? Sicuramente fondamentale è il fatto che tale regolamento debba essere ben studiato dai professionisti e dai cittadini in quanto il testo è ben dettagliato e non si presta alla mera improvvisazione.

Questa norma si inserisce in un quadro già esistente ed in merito a ciò si possono considerare tre assi principali che direzionano lo scopo del testo: 1)rafforzare il mercato unico osservando la libera circolazione dei dati: avendo come focus principale la armonizzazione delle linee guida e del modus operandi. Si verrà infatti a creare una sorta di “sportello unico”, ovvero i cittadini europei avranno in campo di data protection un unico interlocutore. Si cercherà inoltre, una riduzione degli oneri amministrativi (evitando la notifica e l’autorizzazione preventiva). Ci si servirà infine di un controllo ex post e vi sarà una sorta di compliance interna. 2) Aggiornamento dei diritti; 3) nuovo modello di Governance: si è cercato di rafforzare ogni meccanismo volto all’assistenza, all’indagine comune e alla informazione.

Interessanti sono sicuramente alcune novità che il Legislatore Europeo ha introdotto con tale Regolamento.

  1. Data Protection Officer (DPO): sarà infatti obbligatorio per le aziende avere al proprio interno tale figura che sarà abilitata alla protezione dei dati. Egli dovrà essere presente all’interno di tutte le aziende pubbliche ed in quelle in cui il trattamento dei dati comporti specifici rischi (ad esempio aziende che trattano i dati sensibili). Il DPO potrà essere un dipendente della stessa azienda oppure un soggetto esterno con contratto di servizi. Il DPO dovrà inoltre rilasciare i propri recapiti e contatti in modo tale da essere reperibile dagli interessati e dal Garante per la protezione dei dati personali.

L’art. 38, comma 3 del Reg. UE 2016/679, a riprova che il DPO ha un ruolo chiave , evidenzia che quest’ultimo potrà comunicare direttamente con il CEO o con i vertici gerarchici dell’azienda senza bisogno di intermediazioni in quanto gli spettano pieni poteri di autonomia e indipendenza.

Le società che fanno parte di un unico gruppo (a livello nazionale/ transfrontaliero) potranno nominare un solo DPO a condizione che questo sia facilmente raggiungibile da tutte le società.

  1. Ogni azienda avrà l’obbligo di tenere un “registro delle attività di trattamento” e dovrà inoltre effettuare una “valutazione di impatto sulla protezione dei dati”. Esempi di attività rientranti in tali controlli sono le profilazioni ed i dati ottenuti dalla sorveglianza sistematica. Le uniche aziende ad essere esonerate da tali incombenti saranno, ex art. 30, comma 5 del Reg. UE 2016/679, le piccole e medie imprese, ovvero quelle che contano all’interno del loro organico meno di 250 dipendenti. Tale eccezione però non varrà nel caso in cui queste ultime si occupino in modo abituale del trattamento dei dati, abbiano un margine di rischio alto o trattino dati relativi a condanne penali.
  • Diritto all’oblio: ovvero il diritto a voler essere dimenticato. Viviane Reding, già nel 2012, aveva espresso la sua opinione dichiarando che l’UE aveva bisogno di gestire il diritto all’oblio. Dopo la celebre sentenza di Google Spain (Corte di Giustizia UE 13.5.2004, N. c. 131/12), infatti il diritto all’oblio ha assunto sempre più il ruolo di protagonista in vari scenari nazionali ed europei. Si è così deciso di accendere una luce su tale tema, ovvero dare la possibilità all’interessato di poter ricominciare la propria vita senza che il passato adombri il suo presente ed il suo futuro. Perché ciò accada si devono considerare tre elementi fondamentali: a)il tempo; b)l’interesse pubblico; c) i soggetti legittimati ad agire.

Chi vuole fare valere il proprio diritto all’oblio deve rivolgersi al gestore del Motore di ricerca o se questo non è pertinente o non disponibile al Garante della Privacy oppure attraverso la via ordinaria seguendo il rito del lavoro. Si può ottenere così la deindicizzazione e si possono rimuovere lo snippet e autocomplet, così come si possono elidere le copie e le cache.

  1. Per quanto concerne il sistema sanzionatorio il Regolamento UE ha inasprito le sanzioni amministrative pecuniarie nel loro ammontare. Queste potranno infatti arrivare ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo. Ogni Stato sarà inoltre libero di adottare norme relative ad altre sanzioni.

Nella speranza che ogni novità venga compresa e recepita in maniera chiara dai privati, ma anche dalle Aziende il legislatore italiano dovrà destreggiarsi tra la tutela del gruppo e la tutela dell’individuo; tra la ricerca della trasparenza nella raccolta dei dati e l’ottenimento di un consenso da parte degli interessati completo e cosciente. I dati sono uno dei beni più preziosi che abbiamo, perché sono noi, o meglio noi siamo loro.

Valeria Tessaris

 

 

Bibliografia e fonti:

Convegno “Data Protection e Reg. UE 2016/679: la privacy nell’Europa 4.0, tenutosi presso il Tribunale di Torino in data 6.11.2017;

http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4443361

http://www.diritto24.ilsole24ore.com/art/dirittoCivile/2016-05-16/la-privacy-europea-regolamento-ue-2016679-125453.php?refresh_ce=1

https://www.lexology.com/library/detail.aspx?g=bc6b0059-3773-48b1-942f-fc34534822bc

http://www.mondoprivacy.it/regolamento-europeo-privacy/

http://www.webnews.it/2014/05/14/viviane-reding-oblio/