Dopo quasi 4 anni da quando era stato presentata la proposta dalla Commissione UE nel gennaio del 2012, è stato finalmente approvato, a dicembre del 2015, il nuovo Regolamento Europeo sulla protezione dei dati (Privacy), che dalla metà del 2016, introdurrà un’unica legislazione in tutte e 28 nazioni dell’UE. In Italia, prenderà il posto dell’attuale Codice Privacy (D.Lgs. 196/03).
Con il nuovo Regolamento UE sulla privacy, che dovrà essere rispettato anche dalle aziende che hanno sede al di fuori dell’Unione Europea, vengono confermate importanti novità che erano già contenute nella proposta originaria del 2012, come il diritto all’oblio, il diritto alla portabilità dei dati, le notificazioni delle violazioni alle autorità nazionali e anche agli stessi utenti nei casi più gravi (data breaches), modalità di accesso ai propri dati personali più facili per gli interessati, il meccanismo del “one-stop-shop”, con il quale le imprese avranno a che fare con un’unica autorità di vigilanza, e il concetto di “privacy by design”. Ma arrivano anche tagli di costi e meno burocrazie per le piccole e medie imprese al fine di stimolare la crescita economica e del mercato digitale: non saranno ad esempio più obbligatorie notifiche alle autorità di vigilanza, con un risparmio per le pmi di 130 milioni di euro l’anno, e la possibilità di addebitare un contributo agli interessati per le richieste di accesso ai dati manifestamente infondate o eccessive.
La figura del responsabile della protezione dei dati (data protection officer) sarà una figura facoltativa per le piccole medie imprese, che non avranno neppure l’obbligo di effettuare la valutazione dell’impatto (privacy impact assessment), a meno che non esista un rischio elevato.
I testi definitivi saranno ora formalmente adottati dal Parlamento europeo e dal Consiglio nell’arco del 2016. Le aziende avranno due anni per adeguarsi.
Sentiamo in merito cosa ha detto Antonello Soro, Presidente del Garante per la protezione dei dati personali, in una recente intervista a Italia Oggi.
Più responsabilizzazione per abbattere la burocrazia
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Antonio Ciccia Messina, ItaliaOggi, 7 marzo 2016)
Valutazioni di impatto, sistemi di certificazione e di notificazione delle violazioni, nomina quando necessario, di un privacy officer: sono alcuni degli adempimenti cui le imprese devono prepararsi del periodo di transitorio, prima che il regolamento entri a regime. A sottolinearlo è Antonello Soro, presidente del Garante della privacy, che crede in una ricaduta economica positiva del nuovo sistema normativo.
Presidente Soro a che punto è l’iter del regolamento europeo? A quando la definitiva approvazione?
Il 18 dicembre è stato raggiunto l’accordo politico tra gli Stati sul pacchetto di riforma in materia di protezione dei dati personali. Il passaggio successivo prevede che il parlamento europeo esprima formalmente il proprio voto per arrivare, presumibilmente, alla pubblicazione in Gazzetta ufficiale dell’Unione europea entro la prima metà del 2016. Da quel momento il regolamento sarà immediatamente esecutivo e gli Stati membri avranno a disposizione due anni di tempo per adeguare, ove necessario, i propri ordinamenti e garantire l’allineamento fra le disposizioni nazionali esistenti (ove mantenute) e le nuove norme.
A una prima lettura del testo disponibile pare che il regolamento comporti nuovi adempimenti (valutazione impatto privacy, nomina obbligatoria di un responsabile interno) e un sistema sanzionatorio più pesante. Non è in contraddizione con l’obiettivo di semplificazione per le imprese e per le P.A.?
Il regolamento rappresenta una tappa fondamentale per garantire lo sviluppo di un mercato unico digitale con enormi vantaggi competitivi per tutte le imprese, comprese quelle di piccole e medie dimensioni, che ne sapranno cogliere le opportunità. Come più volte ribadito dalla stessa Commissione europea, i tagli in termini di oneri burocratici e di semplificazione saranno effettivi se le imprese, in conformità alle nuove disposizioni, ripenseranno attivamente alle modalità di gestione e di utilizzo dei dati personali attraverso una loro maggiore responsabilizzazione. Con riferimento, invece, alle modifiche al sistema delle sanzioni amministrative, che tutte le Autorità devono poter comminare, si prevede che siano definite entro una soglia pecuniaria massima (che può arrivare anche al 2 e al 4% del fatturato di una azienda) e nel rispetto di criteri fissati nel regolamento.
Cosa devono fare imprese, professionisti e p.a. nel biennio di vacatio legis?
Durante la fase di transizione, nel corso della quale mi auguro che il parlamento non attenda l’ultimo momento utile per adottare la relativa normativa di adeguamento, è necessario che le aziende, ma anche le pubbliche amministrazioni, inizino a ripensare i processi di trattamento dei dati alla luce delle nuove realtà (valutazioni di impatto, sistemi di certificazione e di notificazione delle violazioni) nonché a dotarsi, quando necessario, di un privacy officer.
Come cambia il ruolo dei Garanti nazionali?
Questo è uno dei punti di maggiore rilevanza. E invero, oltre a creare un insieme unico di norme, che renderà più semplice per le imprese operare in ambito Ue, il meccanismo del c.d. sportello unico (unitamente al meccanismo di coerenza) attribuirà, in estrema sintesi, la competenza ad assumere ogni tipo di misura, nonché a esercitare eventuali poteri correttivi, all’autorità del paese dove ha sede lo «stabilimento principale» della società. In questa prospettiva, per le autorità nazionali sarà notevolmente implementato il sistema (co-) decisionale in sede europea e rafforzato in modo significativo il ruolo del Board europeo che riunirà tutte le autorità di protezione dei dati.