Cosa cambia con il nuovo regolamento UE sulla privacy?


Cosa cambia con il nuovo regolamento UE sulla privacy?

Il 15 dicembre 2015 è stato definito il testo del nuovo Regolamento Europeo sulla tutela dei dati personali. Dal momento in cui diventerà esecutivo ci saranno due anni per adeguarsi, ma già da subito la nuova disciplina segna un punto di partenza fondamentale per le aziende, perché la natura trasversale della privacy (da diritto fondamentale a materia di business) avrà un impatto rilevante sulla gestione d’impresa.
Al centro del nuovo Regolamento, il cittadino, che godrà di un maggiore controllo sui propri dati personali e di un più facile accesso agli stessi, nell’ottica di una crescente consapevolezza del loro trattamento.

Novità per le aziende
Il Regolamento prevede un unico insieme di norme valide in tutta l’UE, applicabile anche alle aziende extra-europee che offrono servizi o beni nel mercato europeo. Tale uniformità, nel garantire un’applicazione coerente delle norme di protezione dei dati in tutta l’UE, è stata pensata anche per incoraggiare le imprese ad una maggiore concorrenza leale ed a renderle maggiormente partecipi del mercato unico digitale.
Per le piccole e medie imprese il nuovo quadro europeo prevede vantaggi economici e pratiche burocratiche più snelle. Secondo le nuove regole, le PMI beneficeranno di quattro riduzioni:
1. nessun obbligo di notifica alle autorità di vigilanza, con un risparmio di 130 milioni di euro l’anno;
2. possibilità di addebitare un contributo agli interessati per le richieste di accesso ai dati, laddove risultino manifestamente infondate o eccessive;
3. esenzione, per le PMI dall’obbligo di nominare un Data Protection Officer, salvo casi specifici che saranno indicati nel testo definitivo, dettati dalla tipologia/quantità di dati trattati o collegati al core business;
4. nessun obbligo di effettuare una valutazione di impatto – privacy impact assessment – purché non vi sia un rischio elevato.

Mercato unico digitale intra-UE: le nuove regole
Particolare rilevanza è data al meccanismo del c.d. one-stop-shop, che permetterà ad una società attiva in più Stati membri di trattare solo con l’Autorità Garante dello Stato in cui ha il proprio stabilimento principale; con la conseguenza, in caso di controversie, di prevedere una sola decisione applicabile a tutto il territorio dell’Unione, riducendo i costi per la risoluzione di tali questioni e fornendo maggiore certezza del diritto.

Conformità
Sotto l’aspetto del trattamento dati, il Regolamento fonda la propria struttura applicativa su un approccio basato sul rischio, con particolare riferimento alla necessità del Privacy Impact Assessment: i titolari del trattamento dovranno essere in grado di implementare le misure di sicurezza tenendo conto dei risultati dell’analisi del rischio relativo alle operazioni di trattamento dei dati svolte all’interno dell’azienda. Proprio per tali ragioni, la nuova disciplina ha tenuto ben presente che diverse aziende svolgono differenti attività e rischi connessi alle stesse, che in termini di privacy possono variare di caso in caso. Un elevato rischio comporterà obblighi più stringenti. I titolari del trattamento dovranno attuare, quindi, tutta una serie di misure tecniche ed organizzative al fine di garantire ed essere in grado di dimostrare che il trattamento dei dati personali è effettuato in conformità al Regolamento.

Responsabilità
Sotto il profilo della responsabilità, il Regolamento ha esaltato l’importanza dei concetti di privacy by design e privacy by default, come anche dell’importantissima figura del Data Protection Officer, figura che necessiterà di un percorso formativo adeguato e di alto profilo (anche perché per le Pubbliche Amministrazioni e le aziende che trattano dati particolarmente sensibili il DPO sarà obbligatorio). In caso di particolari violazioni le persone interessate, a certe condizioni, potranno presentare denunce presso un’Autorità Garante o proporre un ricorso giurisdizionale con esiti che per i quali i responsabili del trattamento potrebbero affrontare multe massime fino a € 20 milioni o 4% del loro fatturato annuo globale.

EU Docs

Write a Comment