In arrivo il Regolamento Privacy UE, molte le novità per le imprese / by Roberta Bianchi

Il Consiglio Giustizia e Affari Interni dell’Unione Europea ha assunto un “approccio generale” definitivo riguardo alla proposta di Regolamento Europeo sulla Privacy della Commissione, con l’obiettivo di pervenire all’atto finale già entro la fine dell’anno.

Lo scopo del Regolamento è di armonizzare la normativa in tutta l'UE, offrendo ai cittadini una reale possibilità di controllare l’uso dei propri dati personali; le nuove regole permetteranno inoltre alle imprese di beneficiare del mercato unico digitale.

Già a marzo 2014 il Parlamento europeo aveva supportato la proposta del Consiglio di riformare la disciplina della protezione dei dati; il Consiglio ha altresì auspicato l’adozione della riforma entro il 2015.

Stando a quanto previsto dal “general approach” recentemente approvato, il Regolamento conterrà diverse novità e principi finora inediti. Eccone un sintetico elenco.

Diritto uniforme - il Regolamento stabilirà un unico impianto di regole, valido per tutti gli stati membri, portando ad un netto beneficio in termini di costi per le aziende, in particolare per quanto riguarda le PMI. Verranno ulteriormente snelliti gli adempimenti burocratici.

Diritti più estesi e tutelati - verrà rinforzata la tutela al diritto all’oblio, in modo tale da impedire ai titolari del trattamento di trattenere indebitamente dati personali quando non sono più strettamente necessari. Verranno inoltre stabiliti obblighi di informare i cittadini nell’ipotesi di violazione dei propri dati (vedi oltre) e regole per una “portabilità” semplificata degli stessi tra i vari fornitori di servizi.

Principio di territorialità - le imprese stabilite al di fuori dell’Unione dovranno applicare le stesse regole di quelle stabilite in Europa nell’offrire i propri servizi nel territorio comunitario.

Poteri più ampi per le Autorità Garanti nazionali e aumento sanzioni - le Autorità riceveranno poteri più ampi al fine di garantire l’effettiva applicazione delle regole e potranno comminare sanzioni alle società che violano le previsioni in materia di privacy che possono arrivare anche fino al 2% dell’intero fatturato.

Lo 'one-stop shop' - per imprese e cittadini verrà implementato il cosiddetto 'one-stop shop', vale a dire – per le imprese – la possibilità di relazionarsi con un’unica Autorità, e non 28, nel caso di operazioni commerciali transfrontaliere; i cittadini, invece, potranno interfacciarsi con l’Autorità Garante nazionale del proprio Stato di appartenenza, nella propria lingua, anche nell’ipotesi in cui il trattamento avvenga in un altro Stato membro.

Poteri più ampi per le Autorità Garanti nazionali e sanzioni elevate - le Autorità riceveranno poteri più ampi al fine di garantire l’effettiva applicazione delle regole e potranno comminare sanzioni alle società che violano le previsioni in materia di privacy che possono arrivare anche fino al 2% dell’intero fatturato.

Data Protection Officer - il DPO assumerà un ruolo centraleper attuare correttamente le misure contenute dal regolamento e, successivamente, per garantire la corporate compliance ai provvedimenti normativi e a quelli delle Autorità Garanti.

Accountability - dovere di adottare meccanismi e politiche adeguate, da controllare ed aggiornare periodicamente per mantenere la conformità  alle disposizioni previste dal Regolamento.

Privacy by design e by default - progettazione ex ante, per ogni nuovo processo o prodotto aziendale, di un ciclo di trattamento dei dati personali compatibile con le previsioni del Regolamento, dalla raccolta alla cancellazione (by design), e trattamento solo dei dati strettamente necessari (by default).

Risk assessment - dovere di effettuare un assessment del potenziale impatto del trattamento sulla sfera dei diritti degli interessati, al fine di verificare se il trattamento è in grado di generare rischi specifici. Tale analisi deve essere periodicamente rivista, in particolare se la natura del trattamento varia in misura significativa.

Data protection impact assessment (DPIA) - misurazione dell’impatto della protezione dei dati personali che consideri la gestione degli stessi durante l’intero ciclo del loro trattamento; anche la conformità della DPIA sarà soggetta a revisione periodica.

Data breach - previsione di specifici e stringenti obblighi di notificazione, da effettuarsi all’autorità di controllo e all’interessato, in caso di violazioni di dati personali.

Fonte: Unione Europea