Nuove regole in materia di protezione dei dati personali - il Parlamento Europeo approva il regolamento in materia di privacy

Corporate, Finance e Capital Market

Il 14 aprile 2016 il Parlamento europeo ha approvato il nuovo Regolamento in materia di protezione dei dati personali (il “Regolamento”), volto all’introduzione di un’unica ed uniforme normativa europea in sostituzione del frammentato quadro dei regimi nazionali.

Il Regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta Ufficiale dell'Unione europea e le sue disposizioni saranno direttamente applicabili in tutti gli Stati membri decorsi due anni dalla sua entrata in vigore.

Le nuove norme (con sanzioni in ipotesi di violazione sino al 4% del fatturato globale)  avranno un impatto sostanziale sulle politiche aziendali in tema di privacy di tutte le società, anche con sede al di fuori dell’Unione Europea, che intendano indirizzare l’offerta dei propri beni o la prestazione dei propri servizi in favore dei consumatori europei.

Di seguito una breve sintesi delle più rilevanti novità normative introdotte dal Regolamento.


a) Maggiore trasparenza nel trattamento dei dati personali e limiti all’utilizzo del “profiling”

Le disposizioni del Regolamento rafforzano il diritto del soggetto interessato ("Interessato") ad esprimere il consenso al trattamento dei propri dati personali in modo valido ed univoco prevedendo, tra l’altro, che le regole sul trattamento dei dati debbano essere spiegate con un linguaggio chiaro e comprensibile: le politiche della cosiddetta “small print privacy” non saranno quindi più consentite.

Il Regolamento, inoltre, introduce nuovi e più onerosi obblighi a carico delle imprese che desiderino sfruttare il ricorso ad attività di profilazione - sempre più spesso utilizzate dalle imprese per offrire beni e servizi in maniera personalizzata rispetto alle esigenze degli utenti - limitandone sostanzialmente l'uso automatizzato.


b)
 
Privacy by design - privacy by default - “security by design” 

Il Regolamento introduce l’obbligo di adozione degli approcci di “privacy by design”, “privacy by default” e “security by design”.

Le imprese dovranno adottare sistemi di trattamento dei dati che assicurino il rispetto e la protezione degli stessi a partire dalla progettazione di un processo aziendale e per l’intera durata del suo ciclo di vita; limitare l’utilizzo dei dati allo stretto necessario al perseguimento delle finalità di trattamento prefissate; dimostrare in modo documentale l’adozione di misure volte a garantire la conformità alla normativa privacy e l’adozione di misure di sicurezza adeguate agli eventuali rischi per tutto il ciclo di vita dei loro prodotti/servizi.


c)
 
Diritto all’oblio

A seguito della recente sentenza della Corte di Giustizia Europea sul "diritto all'oblio", il Regolamento istituzionalizza e riconosce il diritto dell’Interessato ad essere "dimenticato", e ad ottenere il cancellamento dei propri dati personali quando non vi sia più alcuna ragione legittima per la loro conservazione.


d)
 
Respondabile della protezione dei dati personali (Data Protection Officer - DPO)

Tra le altre novità di maggiore rilievo il Regolamento prevede l'istituzione della figura del Responsabile della protezione dei dati personali ("DPO"), già previsto obbligatoriamente in alcune legislazioni degli Stati membri dell'Unione europea.

In particolare, il DPO potrà essere un dipendente del titolare del trattamento o del responsabile del trattamento dati oppure assolvere i suoi compiti in base ad un contratto di servizi.

Il principale compito del DPO sarà di valutare, organizzare e monitorare che la gestione dei dati personali (e quindi la loro protezione) all'interno della società, siano effettuate in conformità alla legge.

In particolare, il DPO si dovrà occupare di:

  • informare e fornire consulenza al Titolare del trattamento o al Responsabile o incaricato del trattamento in merito agli obblighi derivanti dal Regolamento nonché dalle altre disposizioni normative dell’Unione europea in merito alla protezione dei dati;
  • sorvegliare l’osservanza del Regolamento e della normativa europea vigente in materia di protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  • cooperare con l’autorità di controllo;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento dei dati.

Il DPO dovrà essere designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.

*** *** ***

Il Regolamento concede alle aziende un biennio di tempo, dalla sua entrata in vigore, per adottare politiche di privacy conformi al nuovo quadro normativo. Tagliare il traguardo senza affanni, tuttavia, richiede sin d’ora di intraprendere un attento percorso di analisi e rafforzamento delle proprie misure di compliance, nella consapevolezza che gli sforzi e gli investimenti richiesti, non solo consentiranno di evitare le ingenti sanzioni previste dalla normativa, ma contribuiranno a rafforzare la fiducia dei consumatori nei confronti dell’impresa.