Pełna chata / Full House (1... | Amazon Prime Video | Laurence Leboeuf

I vantaggi del nuovo regolamento europeo sulla privacy

I vantaggi del nuovo regolamento europeo sulla privacy

Internet è un grande raccoglitore di dati personali, una fonte inesauribile di ricchezza che attinge ai dati degli utenti di ogni angolo del pianeta e che, di conseguenza, mette sempre più a rischio la loro privacy. Da tempo si sente l’esigenza di una maggiore regolamentazione del trattamento dei dati personali e sembra che in materia si veda finalmente uno spiraglio di luce.

Abbiamo dato la parola all’Avv. Monica Gobbato, Avvocato digitale e Consulente Privacy certificata, la quale ci spiegherà in cosa consistono le nuove leggi europee sulla privacy, i vantaggi e le novità che apporterà il nuovo regolamento europeo con l’anno nuovo.

Sull’autrice Avv. Monica Gobbato

Commissario Enti Certificazione per Privacy Officer
Digital Champion di Camogli

Avvocato digitale. Commissario d’esame per Privacy Officer per enti di certificazione e Consulente Privacy certificata. Digital Champion per il Comune di Camogli, in passato è stata senior associate di due grandi studi legali internazionali: Gianni, Origoni & Partners e Baker & McKenzie a Milano, dove ha coordinato i dipartimenti di Diritto della Privacy nell’ambito di Information Technology.
Si occupa di Privacy dal 1997 e di Diritto dell’informatica dal 2003. Prof A.C. all’università Ca’ Foscari a Venezia dal 2007, è docente in Master Universitari, Seminari e Corsi in tutta Italia. Relatrice e moderatrice in materia di Diritto dell’informatica, privacy e cybercrime.

È autrice per testate online e offline. Già consulente in legal banking e Diritto finanziario per l’Associazione Nazionale di categoria Assoreti. Ha pubblicato con UTET, CEDAM, Fag, Ipsoa, Halley, Edizioni Tecna. Collabora con cheFuturo! e Assodigitale.

Segui Monica Gobbato su Twitter

Scrivile una mail

Sappiamo che entro i primi mesi del 2016 dovrà essere pubblicato sulla Gazzetta Ufficiale Europea il nuovo Regolamento Privacy. In bozza già dal 25 Gennaio 2012, e poi approvato in prima lettura dal Parlamento Europeo nel 2014, ancora non sono chiari ai più né i contenuti né i possibili vantaggi.

Va detto, da subito, che il Regolamento sarà una vera rivoluzione non solo per la privacy in quanto tale, ma per il digitale in genere. Non si potrà più ragionare senza avere la Privacy come fondamento. Alcuni suoi effetti saranno immediatamente visibili, anche perchè la ratio del Regolamento è quella di essere obbligatoria allo stesso modo per tutti, ed è questo  il motivo per cui le aziende e gli enti pubblici devono conoscerne almeno i contenuti principali.

Il pacchetto di protezione dei dati consiste in un Regolamento generale che copre la maggior parte delle norme sul trattamento dei dati personali nell’Unione europea e in una direttiva relativa al trattamento dei dati personali, con lo scopo di prevenire, accertare e perseguire i reati penali o per applicare sanzioni penali.

Le nuove regole aggiornano la legislazione europea vigente, che risale a  20 anni fa (Direttiva 46/95) e che non teneva conto della rapida evoluzione delle tecnologie, né della grande mole di dati ora riversata in rete spesso volontariamente dagli utenti – mediante social network ma non solo – e neanche dei nuovi dispositivi mobili, che  hanno in modo imprevedibile accelerato le necessità di sicurezza. Le informazioni che sono state prodotte dall’origine del mondo al 2003, ora si producono in un periodo di tempo che va dalle 24 alle 48 ore.

Le società che infrangeranno le regole incorreranno in sanzioni  fino a 1 milione di euro o fino al 2% del fatturato mondiale annuo. Per quel che concerne la responsabilità civile, resta ferma la vecchia impostazione secondo la quale in caso di danno derivante dal trattamento, il titolare paga, a meno che non sia in grado di dimostrare che l’evento dannoso non gli è imputabile. Rimane quindi l’inversione dell’onere della prova.

Quali novità introduce il nuovo regolamento sulla Privacy?

Le nuove norme prevedono importanti novità che in breve si elencano:

Accountability (responsabilità del Titolare). Si deve dimostrare di avere rispettato le norme fondamentali che diventano i pilastri della nuova disciplina. Queste sono: valutazione di impatto, designazione di privacy officer, conservazione della documentazione e autorizzazione preventiva dell’autorità.

Privacy by design e Privacy by default. Si tratta di nuovi obblighi che il Titolare avrà ancor prima di procedere al trattamento dei dati. Dovrà cioè pensare in un’ottica di Privacy già dal momento in cui disegna il nuovo hardware o software o semplicemente il nuovo servizio. Inoltre, dovrà pensarlo con tutte le impostazioni di Privacy chiuse e non aperte come si è fatto finora (basti pensare a Facebook o ad altri social).

Data Protection Officer. È una nuova figura di super consulente che ogni Titolare, che sia una Pubblica Amministrazione o un ente (Società, associazione o Professionista) che tratti dati di oltre 5000 o 50.000 interessati (ancora non si sa quale delle due sarà la soluzione scelta per i privati), deve avere. Può essere interno o esterno. In quest’ultimo caso il contratto dovrebbe essere necessariamente di almeno 3 anni, rinnovabili e revocabili solo in caso di mancata soddisfazione da parte del Titolare. Il DPO deve assicurare la conformità a tutte le regole e il suo nome deve essere comunicato all’Autorità Garante per la Protezione dei Dati Personali.

Valutazione di impatto. Si deve prevedere prima dell’inizio del trattamento una valutazione dei possibili rischi che questo comporta e occorre prevederne le misure correttive e le eventuali comunicazioni al Garante. La valutazione va documentata per iscritto.

Informative e consenso. Le informative all’interessato dovranno essere più dettagliate, ma soprattutto più efficaci delle precedenti, usando anche moduli, schemi e disegni. Il consenso, invece, dovrà essere sempre espresso in modo inequivocabile. Il consenso non dovrà essere una possibilità per effettuare trattamenti illeciti.

Data Breach. In base al nuovo regolamento sarà obbligatorio notificare all’Autorità di controllo – mediante moduli, corposi, predeterminati da ogni Autorità Garante (e nei casi di telecomunicazioni, banche ed enti pubblici già esistenti) – ogni violazione del trattamento e nei casi più gravi anche al soggetto interessato. Si dovrà fare in termini ristrettissimi dalle 48 alle 72 ore.

Diritto all’oblio Si tratta dell’obbligo di gestire con modalità predeterminate la richiesta di cancellazione di dati o la richiesta di deindicizzazione di articoli e/o notizie diffuse in rete. Il Titolare dovrà attivare delle procedure per fronteggiare in modo corretto e nei tempi stabiliti queste richieste che sono sempre piuttosto delicate, soprattutto perchè si scontrano con il diritto di cronaca, l’interesse pubblico, le finalità storiche o documentaristiche del trattamento.

Big Data. Il Regolamento si occupa nell’ambito dell’articolo 20, dedicato alla profilazione, anche dei Big Data, i quali costituiscono un vero e proprio patrimonio informativo, permettendo dettagliate profilazioni in grado di prevedere  i futuri consumi di prodotti e o servizi, magari anche di tipo sanitario. Tali trattamenti possono essere lesivi del diritto alla riservatezza degli interessati. Inoltre le abitudini di vita e di consumo o i comportamenti degli interessati devono essere trattati in modo da non permettere abusi, come ad esempio quello di influenzarne le scelte in modo occulto.

Misure di sicurezza. Viene finalmente reintrodotta la abrogata Analisi dei Rischi, dalla quale dovranno poi derivare le misure di sicurezza tecniche ed organizzative che ogni Titolare dovrà poi adottare. Non si parla piu di misure minime e idonee, ma solo di misure adeguate che ripercorrono a mio modo di vedere il concetto di idoneità. Non basta il minimo occorre fare di più.

Documentazione. Sorge un obbligo di documentare e conseguentemente conservare ogni atto, documento, procedura concernente ciascun trattamento. Il Titolare con l’aiuto del Privacy Officer dovrà conservare nomi dei responsabili interni ed esterni designati,  rappresentanti all’estero, finalità e ambito di comunicazione e diffusione di ogni trattamento, misure di sicurezza adottata. In pratica la norma impone un’attenta organizzazione della Privacy in azienda, con controlli periodici ed efficaci sulla bontà della documentazione e sulla conservazione.

Leggi anche:

Come proteggere la privacy online e usare internet in tutta sicurezza

  • Link copiato!
Visualizzazione commenti in corso...