Il 27 aprile 2016 il Parlamento Europeo e il Consiglio dell’Unione Europea, su proposta della Commissione Europea, hanno adottato il Regolamento UE 2016/579 sulla protezione dei dati (GDPR – General Data Protection Regulation), con l’obiettivo di rafforzare e unificare la protezione dei dati personali entro i confini dell’Unione.
Lo scopo di questo regolamento è di proteggere i cittadini dell’Unione Europea da violazioni della privacy e dei dati personali in un mondo sempre più condizionato dall’utilizzo dei dati, molto diverso dal contesto nel quale, ormai più di venti anni fa, fu emanata la direttiva 95/46/CE, che il GDPR andrà appunto a sostituire ed abrogare.
Il Regolamento verrà applicato a partire dal 25 maggio 2018 dopo un periodo di transizione di due anni, senza bisogno di alcuna forma di legislazione applicativa da parte degli stati membri (a differenza di quanto accade per le Direttive). Questa nuova normativa non riguarda invece la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico; per tale motivo, ad essa si affianca una nuova direttiva – 2016/680 emanata lo stesso 27/04/2016 – che stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.
Sebbene i principi fondamentali sulla protezione dei dati personali rimangano inalterati rispetto alla pregressa Direttiva 95/46/CE, con il Regolamento sono stati operati numerosi ed importanti cambiamenti. Di seguito evidenziamo brevemente i principali:
Ampliamento dell’ambito territoriale di applicazione (c.d. applicabilità extra-territoriale)
Si tratta del cambiamento di maggior rilievo, dal momento che il GDPR si applica a tutte le compagnie che processano dati personali di soggetti residenti nell’Unione, a prescindere dalla sede della compagnia in questione. In precedenza la direttiva era un po’ ambigua su questo punto, perché faceva riferimento al “contesto di uno stabilimento”. Questa definizione ha dato luogo a tantissime controversie dinanzi alla Corte.
Il GDPR, viceversa, fa chiarezza assoluta sul punto, in quanto per la sua applicazione si prescinde dal luogo in cui avviene l’elaborazione dei dati (all’interno o fuori dall’EU) se effettuata da titolari o responsabili del trattamento nell’Unione; inoltre, la normativa si applica anche se i titolari o responsabili del trattamento non sono nell’Unione Europea ogni qualvolta il trattamento dei dati riguardi l’offerta di beni e servizi ai cittadini dell’Unione (indipendentemente dal fatto se sia o meno dovuto un pagamento), nonché il monitoraggio del loro comportamento (qualora avvenga all’interno dell’UE).
Sanzioni
Le organizzazioni che violano il GDPR possono essere assoggettate, per le violazioni più gravi, ad una ammenda fino al 4% del fatturato annuo globale o a 20 milioni di euro (a seconda di quale sia l’importo maggiore). Per violazioni gravissime si intendono quelle relative alla mancata o insufficiente acquisizione del consenso al trattamento/elaborazione dei dati da parte del cliente o la violazione dei concetti fondamentali del Privacy by Design. Il sistema di penali è ovviamente di tipo crescente e progressivo, in base alla gravità della infrazione e va dalla semplice ammonizione fino appunto alla sanzione pecuniaria massima sopra ricordata.
È fondamentale rilevare che le regole sulle penali si applicano sia ai titolari che ai responsabili del trattamento, il che sta a significare che i cloud non sono esentati dall’applicazione del GDPR.
Consenso
Le condizioni per il consenso sono state rafforzate e le società non potranno più utilizzare termini e condizioni lunghi ed illeggibili, infarciti di termini legali di difficile comprensione, in quanto si prevede che la richiesta di consenso sia data in forma intelligibile e facilmente accessibile, allo scopo di rendere chiaro a quale trattamento dei dati quel consenso indiscutibilmente si riferisce, mantenendolo separato e distinguibile da altre questioni. La stessa facilità e chiarezza viene prevista per il ritiro del consenso in precedenza concesso.
Relativamente all’argomento consenso, le novità sui diritti dei soggetti a cui si riferiscono i dati personali sono così riassumibili:
– Obbligatorietà della notifica della violazione entro le 72 ore successive
– Diritto di accesso esteso e gratuito alle informazioni sul trattamento/utilizzo o meno dei propri dati
– Diritto all’oblio
– Diritto alla portabilità dei dati
– Privacy by Design and by Default
– Obbligatorietà della designazione dei DPO (Data Protection Officers – Responsabili per la Protezione dei Dati) solo in determinate situazioni previste dal regolamento (art. 37), ed in particolare: (a) per le autorità o organismi pubblici; (b) per le organizzazioni che svolgono attività che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; (c) organizzazioni che svolgono attività di trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (es. su convinzioni politiche, religiose, dati genetici o biometrici, …) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Un breve approfondimento merita l’istituto del Privacy by Design e Privacy by Default. Si tratta di un concetto che esiste ormai da diversi anni, ma solo con il GDPR entrerà a far parte di un Regolamento di legge. In sintesi, la Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita richiede l’inclusione della protezione dei dati fin dall’inizio della progettazione dei sistemi, e non come un’aggiunta successiva. Nello specifico, l’articolo 25 stabilisce che ‘il titolare del trattamento mette in atto misure tecniche e organizzative adeguate … volte ad attuare in modo efficace i principi di protezione dei dati … e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. …Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica’.
Data l’importanza della materia, soprattutto perché rappresenta per la prima volta un insieme unico di regole valide per tutti senza necessità di alcuna norma di attuazione a livello di stati membri, è stato istituito anche un sito, consultabile a questo link.

Lo Staff di PME

Il 27 aprile 2016 il Parlamento Europeo e il Consiglio dell’Unione Europea, su proposta della Commissione Europea, hanno adottato il Regolamento UE 2016/579 sulla protezione dei dati (GDPR – General Data Protection Regulation), con l’obiettivo di rafforzare e unificare la protezione dei dati personali entro i confini dell’Unione.
Lo scopo di questo regolamento è di proteggere i cittadini dell’Unione Europea da violazioni della privacy e dei dati personali in un mondo sempre più condizionato dall’utilizzo dei dati, molto diverso dal contesto nel quale, ormai più di venti anni fa, fu emanata la direttiva 95/46/CE, che il GDPR andrà appunto a sostituire ed abrogare.
Il Regolamento verrà applicato a partire dal 25 maggio 2018 dopo un periodo di transizione di due anni, senza bisogno di alcuna forma di legislazione applicativa da parte degli stati membri (a differenza di quanto accade per le Direttive). Questa nuova normativa non riguarda invece la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico; per tale motivo, ad essa si affianca una nuova direttiva – 2016/680 emanata lo stesso 27/04/2016 – che stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.
Sebbene i principi fondamentali sulla protezione dei dati personali rimangano inalterati rispetto alla pregressa Direttiva 95/46/CE, con il Regolamento sono stati operati numerosi ed importanti cambiamenti. Di seguito evidenziamo brevemente i principali:
Ampliamento dell’ambito territoriale di applicazione (c.d. applicabilità extra-territoriale)
Si tratta del cambiamento di maggior rilievo, dal momento che il GDPR si applica a tutte le compagnie che processano dati personali di soggetti residenti nell’Unione, a prescindere dalla sede della compagnia in questione. In precedenza la direttiva era un po’ ambigua su questo punto, perché faceva riferimento al “contesto di uno stabilimento”. Questa definizione ha dato luogo a tantissime controversie dinanzi alla Corte.
Il GDPR, viceversa, fa chiarezza assoluta sul punto, in quanto per la sua applicazione si prescinde dal luogo in cui avviene l’elaborazione dei dati (all’interno o fuori dall’EU) se effettuata da titolari o responsabili del trattamento nell’Unione; inoltre, la normativa si applica anche se i titolari o responsabili del trattamento non sono nell’Unione Europea ogni qualvolta il trattamento dei dati riguardi l’offerta di beni e servizi ai cittadini dell’Unione (indipendentemente dal fatto se sia o meno dovuto un pagamento), nonché il monitoraggio del loro comportamento (qualora avvenga all’interno dell’UE).
Sanzioni
Le organizzazioni che violano il GDPR possono essere assoggettate, per le violazioni più gravi, ad una ammenda fino al 4% del fatturato annuo globale o a 20 milioni di euro (a seconda di quale sia l’importo maggiore). Per violazioni gravissime si intendono quelle relative alla mancata o insufficiente acquisizione del consenso al trattamento/elaborazione dei dati da parte del cliente o la violazione dei concetti fondamentali del Privacy by Design. Il sistema di penali è ovviamente di tipo crescente e progressivo, in base alla gravità della infrazione e va dalla semplice ammonizione fino appunto alla sanzione pecuniaria massima sopra ricordata.
È fondamentale rilevare che le regole sulle penali si applicano sia ai titolari che ai responsabili del trattamento, il che sta a significare che i cloud non sono esentati dall’applicazione del GDPR.
Consenso
Le condizioni per il consenso sono state rafforzate e le società non potranno più utilizzare termini e condizioni lunghi ed illeggibili, infarciti di termini legali di difficile comprensione, in quanto si prevede che la richiesta di consenso sia data in forma intelligibile e facilmente accessibile, allo scopo di rendere chiaro a quale trattamento dei dati quel consenso indiscutibilmente si riferisce, mantenendolo separato e distinguibile da altre questioni. La stessa facilità e chiarezza viene prevista per il ritiro del consenso in precedenza concesso.
Relativamente all’argomento consenso, le novità sui diritti dei soggetti a cui si riferiscono i dati personali sono così riassumibili:
– Obbligatorietà della notifica della violazione entro le 72 ore successive
– Diritto di accesso esteso e gratuito alle informazioni sul trattamento/utilizzo o meno dei propri dati
– Diritto all’oblio
– Diritto alla portabilità dei dati
– Privacy by Design and by Default
– Obbligatorietà della designazione dei DPO (Data Protection Officers – Responsabili per la Protezione dei Dati) solo in determinate situazioni previste dal regolamento (art. 37), ed in particolare: (a) per le autorità o organismi pubblici; (b) per le organizzazioni che svolgono attività che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; (c) organizzazioni che svolgono attività di trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (es. su convinzioni politiche, religiose, dati genetici o biometrici, …) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Un breve approfondimento merita l’istituto del Privacy by Design e Privacy by Default. Si tratta di un concetto che esiste ormai da diversi anni, ma solo con il GDPR entrerà a far parte di un Regolamento di legge. In sintesi, la Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita richiede l’inclusione della protezione dei dati fin dall’inizio della progettazione dei sistemi, e non come un’aggiunta successiva. Nello specifico, l’articolo 25 stabilisce che ‘il titolare del trattamento mette in atto misure tecniche e organizzative adeguate … volte ad attuare in modo efficace i principi di protezione dei dati … e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. …Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica’.
Data l’importanza della materia, soprattutto perché rappresenta per la prima volta un insieme unico di regole valide per tutti senza necessità di alcuna norma di attuazione a livello di stati membri, è stato istituito anche un sito, consultabile a questo link.

Lo Staff di PME

Iscriviti per rimanere aggiornato

Non perdere offerte o novità sui prossimi corsi.

Leggi al nostra Privacy Policy.