Edicola News, Fisco e Società, Lavoro e Previdenza

Regolamento sulla privacy: tutte le novità per imprese e professionisti

Regolamento sulla privacy: tutte le novità per imprese e professionisti

Regolamento sulla privacy: tutte le novità per imprese e professionisti

Sulla Gazzetta Ufficiale Ue del 4 maggio 2016 è stato pubblicato il regolamento sulla protezione dei dati personali. Il provvedimento entra in vigore il 24 maggio 2016. Gli Stati membri hanno due anni per uniformare la propria legislazione alle regole comunitarie e, entro il medesimo termine, professionisti ed imprese dovranno adattare i propri modelli organizzativi alle nuove prescrizioni onde evitare di incorrere in pesanti sanzioni economiche, quando non in responsabilità di natura penale

Il 27 aprile 2016, il Parlamento ed il Consiglio europei hanno approvato definitivamente il Regolamento n. 2016/679 sulla protezione e la libera circolazione dei dati personali delle persone fisiche (Regolamento Generale sulla protezione dei dati).

Il provvedimento è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea L. 119/32 del 4 maggio 2016 e, quindi, secondo quanto espressamente disposto dal suo articolo 99, entra in vigore il 20° giorno successivo.

Va precisato, peraltro, che le norme del Regolamento non troveranno immediata applicazione a partire dal 24 maggio 2016, poiché da quel giorno inizierà a decorrere il termine di due anni entro i quali tutti gli Stati Membri dovranno adeguare le norme nazionali in materia di “privacy” alle prescrizione regolamentari. Decorso tale termine si porranno due alternative: o gli Stati avranno adottato norme di recepimento delle prescrizioni regolamentari che – quindi – troveranno applicazione dalla data della loro entrata in vigore ovvero, in caso contrario, il Regolamento 2016/679 troverà automatica e diretta applicazione dal 25 maggio 2018, con conseguente disapplicazione di tutte le norme nazionali che fossero in contrasto con lo stesso.

Il Regolamento è articolato in undici capi, che disciplinano la struttura e l’articolazione dei soggetti deputati al controllo, i diritti degli interessati, gli obblighi del Titolare e del Responsabile del trattamento, e, infine, l’apparato sanzionatorio per i casi di violazione delle norme regolamentari e di quelle – nazionali – di recepimento del regolamento stesso.

Riportiamo – di seguito – alcune tabelle esplicative delle principali questioni ed istituti giuridici normati dal Regolamento e dei relativi contenuti.

Argomento
Disciplina
Articoli di riferimento
Entrata in vigore
Ambito di applicazione
Il Regolamento disciplina:
1) la protezione dei dati personali delle (sole) persone fisiche
2) le regole sulla libera circolazione dei dati personali
Devono rispettare le norme del Regolamento, i trattamenti, “interamente o parzialmente automatizzati” di dati personali e quelli, non automatizzati, di dati presenti o destinati a confluire in archivi.
Sono esclusi dall’applicazione del Regolamento, tra gli altri, i trattamenti effettuati dalle autorità di pubblica sicurezza.
Dal punto di vista “geografico” sono soggetti al Regolamento i trattamenti dati effettuati da un titolare/responsabile nominato nella UE indipendentemente dal luogo del trattamento e, comunque, i trattamenti intra UE quando gli stessi riguardino offerte di beni o prestazioni di servizi (anche in forma gratuita).
Capo I – articoli 1-3
25 maggio 2018, ovvero la data – anteriore – di entrata in vigore delle norme nazionali di recepimento del dettato del Regolamento UE
Principi
Il Capo II individua e disciplina i seguenti principi posti alla base del Regolamento:
-l’obbligo di liceità, correttezza e trasparenza del trattamento;
– la limitazione della finalità per le quali è ammesso il trattamento;
Capo II – articoli 5-11
25 maggio 2018, ovvero la data – anteriore – di entrata in vigore delle norme nazionali di recepimento del dettato del Regolamento UE
– la “minimizzazione” dei dati trattati in relazione allo scopo del trattamento stesso;
– l’obbligo di esattezza e, quindi, di aggiornamento, dei dati personali trattati;
– l’onere di limitare il periodo di conservazione dei dati trattati in funzione di quanto effettivamente ciò sia necessario;
– l’obbligo di tutelare l’integrità e la riservatezza dei dati trattati.
– la responsabilità del Titolare del trattamento in ordine al rispetto di tutti i principi e le norme regolamentari.
Il Regolamento detta, poi, caratteristiche e condizioni per il consenso al trattamento dei dati da parte degli interessati che rappresenta – in termini generali e salve le eccezioni espressamente previste -, il prerequisito di ogni trattamento.
Diritti degli interessati
Gli interessati, ossia i soggetti i cui dati vengono trattati, hanno i seguenti diritti, previsti e disciplinati espressamente e puntualmente dal Regolamento:
– trasparenza in ordine alle modalità del trattamento;
– diritto a ricevere specifiche informazioni in merito ai propri dati trattati dal Titolare/Responsabile del Trattamento;
– diritto di accesso ai propri dati personali detenuti da un Titolare/Responsabile;
– diritto alla rettifica dei dati o alla loro cancellazione (il c.d. “diritto all’oblio”);
– diritto, in specifici casi ed a determinate condizioni, di limitare il trattamento dei propri dati personali;
– diritto di ricevere “notifiche” dal Titolare in ordine agli eventi di cui ai punti precedenti;
– diritto alla “portabilità” dei dati personali;
– diritto di opposizione al trattamento per specifici e documentati motivi.
Articoli 12-23
25 maggio 2018, ovvero la data – anteriore – di entrata in vigore delle norme nazionali di recepimento del dettato del Regolamento UE
Compiti, doveri e responsabilità del Titolare e del Responsabile del trattamento
Il Capo IV individua, innanzitutto, gli “obblighi generali” e le responsabilità specificamente posti in capo al Titolare del trattamento dei dati personali.
1) il Titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento;
2) l’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento;
Articoli 24-43
25 maggio 2018, ovvero la data – anteriore – di entrata in vigore delle norme nazionali di recepimento del dettato del Regolamento UE
3) il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie;
4) il titolare mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
Quanto al Responsabile del Trattamento, il Regolamento dispone che:
– egli non ricorre ad altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare;
– i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento;
– il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare.
Viene quindi prescritto che – nel caso si voglia porre in essere trattamenti che presentino un rischio elevato per i diritti e le libertà individuali – si debba procedere ad una (analiticamente descritta) “valutazione d’impatto sulla protezione dei dati” e ad una consultazione preventiva dell’Autorità nazionale di controllo sulla tutela dei dati personali.
Il Capo prevede, infine:
– l’adozione di codici di condotta da parte degli organismi rappresentativi di categoria dei titolari di trattamento;
– l’adozione di meccanismi di “certificazione” della protezione dei dati personali.
Trasferimento di dati personali verso paesi terzi od organizzazioni internazionali
Qualunque trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni del Regolamento.
In particolare, il trasferimento è ammesso se la Commissione Ue ha deciso che il paese terzo o l’organizzazione internazionale garantiscono un livello di protezione adeguato, secondo indici dettati dall’articolo 45 quali – ad esempio – il rispetto dei diritti umani, l’esistenza e la concreta operatività di “garanti della privacy” e gli impegni internazionali assunti dal soggetto terzo in merito alla protezione dei dati personali. In tal caso il trasferimento non necessita di autorizzazioni specifiche.
In assenza di quanto sopra il titolare trasferisce i dati solo se ha fornito “garanzie adeguate” (di cui viene fornito un elenco esemplificativo dall’art. 46) e a condizione che gli interessati dispongano di strumenti giurisdizionali di tutela.
Articoli 44-50
25 maggio 2018, ovvero la data – anteriore – di entrata in vigore delle norme nazionali di recepimento del dettato del Regolamento UE
L’articolo 49 individua, “deroghe in specifiche situazioni” che si verificano, ad esempio, quando:
a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto;
b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento;
c) il trasferimento è necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
d) il trasferimento sia necessario per importanti motivi di interesse pubblico;
e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità di prestare il consenso;
Disciplina dei “garanti privacy” nazionali e della UE
Il Capo VI disciplina le Autorità di controllo nazionali prevedendo l’obbligo di costituirne almeno una – dotata di indipendenza – in ogni Stato membro.
Il Regolamento detta, quindi, le procedure di istituzione delle Autorità e quelle di nomina dei rispettivi membri.
Quindi, la Sezione II del Capo VI disciplina competenza, compiti e poteri delle Autorità nazionali e prevede che ognuna di esse debba redigere una relaziona annuale sulla propria attività
Articoli 51-59
25 maggio 2018, ovvero la data – anteriore – di entrata in vigore delle norme nazionali di recepimento del dettato del Regolamento UE
Cooperazione e coerenza
E’ previsto e disciplinato nelle sue modalità l’obbligo di cooperazione tra le autorità nazionali di controllo in caso di trattamento di dati o loro trasferimento trasfrontalieri.
Modalità che prevedono il coinvolgimento del “Comitato Europeo per la protezione dei dati”, chiamato – a domanda – a rendere pareri alle autorità nazionali.
Il Comitato è altresì deputato– in caso di contrasti tra Autorità – a “comporre le controversie”.
25 maggio 2018, ovvero la data – anteriore – di entrata in vigore delle norme nazionali di recepimento del dettato del Regolamento UE
Mezzi di ricorso, responsabilità e sanzioni
Gli interessati hanno diritto di proporre reclamo, avanti ai Garanti della privacy nazionali.
Questo diritto non è alternativo alla possibilità di proporre ricorsi amministrativi o giurisdizionali anche avverso le decisioni dell’Autorità di controllo che si assumano illegittime.
L’articolo 82 stabilisce, in capo agli interessati, il diritto al risarcimento per i danni “materiali o immateriali” patiti a seguito di trattamenti dei dati effettuati in violazione del Regolamento Ue.
L’articolo 83 individua, poi, le “condizioni generali” per l’irrogazione di sanzioni amministrative pecuniarie per la violazione di specifiche norme regolamentari.
Le sanzioni possono arrivare fino all’importo di 10 milioni di euro ovvero, in caso di imprese, fino al 2% del fatturato totale mondiale annuo, se superiore alla predetta cifra.
Articoli 77-84
25 maggio 2018, ovvero la data – anteriore – di entrata in vigore delle norme nazionali di recepimento del dettato del Regolamento UE
Disposizioni transitorie e finali
a) il Regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione sulla GUUE (24/05/2016);
b) le norme del regolamento saranno applicabili al più tardi il 25 maggio 2018, ferma restandone l’applicabilità anticipata, qualora uno Stato membro adotti le norme nazionali di recepimento del regolamento stesso prima di tale termine ultimo;
c) il regolamento è “obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri”, con la conseguenza che il suo totale o parziale mancato recepimento entro il 25/05/2018 comporterà la sua diretta applicazione nello Stato membro inadempiente ed il conseguente obbligo di disapplicazione di qualsiasi norma nazionale difforme.
Articolo 99

Conclusioni
Con la pubblicazione, sulla Gazzetta Ufficiale dell’Unione Europea, del Regolamento 2016/679 è iniziato a decorrere un termine che si concluderà il 25 maggio 2018. Il termine entro il quale ciascuno degli Stati Membri dovrà porre mano alla propria legislazione in materia di privacy per adeguarla al Regolamento stesso e per implementarla in tutti quegli aspetti rimessi alla valutazione discrezionale dei Legislatori nazionali.

Possiamo quindi dire, sin d’ora, che entro due anni assisteremo ad uno stravolgimento del vigente decreto legislativo n. 196/03 che oggi contiene la normativa italiana in materia.

D’altra parte, anche le imprese (nazionali e non) e, in particolare, quelle che fanno della raccolta e del trattamenti dei dati personali un elemento rilevante del proprio modello di business, dovranno avviare un rilevante percorso di rivisitazione dell’organizzazione aziendale per renderla compatibile con le stringenti previsioni del Regolamento sopra illustrato ed evitare di incorrere in violazioni che – come sopra accennato – potranno comportare sanzioni economiche molto rilevanti quando non responsabilità di natura penale in capo ai Titolari ed ai Responsabili del trattamento.

Regolamento Ue N. 2016/679

FONTE: http://bit.ly/1shcu8y
Annunci

1 thought on “Regolamento sulla privacy: tutte le novità per imprese e professionisti”

Commenta

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...