Regolamento generale sulla protezione dei dati

Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e unificare la protezione dei dati personali entro i confini dell'Unione europea (UE). Affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando i regolamenti entro l'UE.^[1] Quando entrerà in vigore, il GDPR andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC)^[2] istituita nel 1995. Può generare confusione per alcuni il fatto che esista una nuova direttiva in aggiunta al nuovo regolamento: sarà applicata ai procedimenti di polizia, che continueranno a variare da Stato a Stato.^[3]

Il regolamento è stato adottato il 27 aprile 2016. Verrà applicato a partire dal 25 maggio 2018 dopo un periodo di transizione di due anni e, a differenza di una Direttiva, non richiede alcuna forma di legislazione applicativa da parte degli stati membri. ^[4]

Riepilogo

"Il regime di protezione dei dati proposto per l'UE estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che gestiscono dati di residenti europei. Permette di armonizzare i vari regolamenti sulla protezione dei dati in tutta l'UE, facilitando così l'osservanza di tali regolamenti da parte delle imprese non europee; tuttavia, questo è stato ottenuto a costo di un regime di una severa disciplina di protezione dei dati, con rigide sanzioni che possono raggiungere il 4% del volume globale di affari." ^[5] La versione del Parlamento contiene multe aumentate fino al 5%.^[6] A seguito di negoziazioni nel dialogo a tre tra Parlamento Europeo, Commissione Europea e Consiglio dei Ministri, si è raggiunto un consenso generale sulla formulazione del GDPR e sulle sanzioni finanziarie per la mancata osservanza.^[7]

Contenuto

La proposta per il regolamento generale sulla protezione dei dati contiene le seguenti modifiche fondamentali:^[6] ^[8]

Scopo

Il regolamento si applica se colui che l'organizzazione o il soggetto (persona) che controlla o gestisce i dati ha sede nell'UE. Inoltre, a differenza dell'attuale direttiva, il regolamento si applica anche a organizzazioni con sede esterna all'UE che gestiscono dati di residenti europei. Il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico ("le autorità competenti per gli scopi di prevenzione, indagine, individuazione e persecuzione di reati penali o esecuzione di provvedimenti penali"). Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque cosa: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer."^[9]

Insieme unico di regole e sportello unico

A tutti gli stati membri UE si applicherà un insieme unico di regole. Ciascuno stato membro istituirà un'autorità sovrintendente indipendente per dare udienza ai reclami, effettuare indagini, sanzionare le infrazioni amministrative, ecc. Le autorità sovrintendenti in ciascuno stato membro collaboreranno con le altre, fornendo assistenza reciproca e organizzando operazioni congiunte. Qualora una ditta abbia più stabilimenti nell'UE, avrà un'unica autorità sovrintendente come propria "autorità principale", sulla base dell'ubicazione del proprio "stabilimento principale" (ossia il posto dove hanno luogo le principali attività di gestione). L'autorità principale agirà quale "sportello unico" per supervisionare tutte le attività di gestione dati di quella ditta nell'UE^[10]^[11] (Articoli 46 - 55 del GDPR). Una commissione europea per la protezione dei dati (EDPB, European Data Protection Board) coordinerà le autorità sovrintendenti. L'EDPB andrà a sostituire il gruppo di lavoro dell'Articolo 29.

Vi sono eccezioni nel caso di dati elaborati in un contesto di impiego e di dati elaborati a scopo di sicurezza nazionale, che potrebbero ancora essere soggetti ai regolamenti delle singole nazioni (Articoli 2(2)(a) e 82 del GDPR).

Responsabilità

I requisiti per le notifiche rimangono e sono ampliati. Essi devono includere il tempo di mantenimento dei dati personali e occorre fornire i contatti di chi controlla i dati e del funzionario preposto alla protezione dei dati.

È stato introdotto il diritto di contestazione delle decisioni automatizzate, compresa la profilazione (Articolo 22). I cittadini hanno ora il diritto di contestare e contrastare decisioni che hanno impatto su di loro e che sono state realizzate unicamente in base ai risultati di un algoritmo.

I principi di Privacy by Design and by Default (Articolo 25) richiedono che la protezione dei dati faccia parte del progetto di sviluppo dei processi aziendali per prodotti e servizi.

Le impostazioni di privacy sono configurate su un livello alto in modo predefinito.

Le valutazioni dell'impatto della protezione dei dati (Articolo 33) devono essere effettuate nei casi in cui si verifichino rischi specifici per i diritti e le libertà dei soggetti dei dati. La valutazione e la riduzione del rischio sono richieste insieme ad un'approvazione preventiva da parte delle autorità per la protezione dei dati (DPA, Data Protection Authorities) per rischi elevati. I funzionari per la protezione dei dati (Articoli 35-37) sono tenuti a verificare l'osservanza da parte delle organizzazioni. Devono essere nominati per tutte le autorità pubbliche e per le aziende che elaborino i dati di oltre 5000 soggetti nell'arco di 12 mesi.

Consenso

Un valido consenso deve essere esplicitamente dato per la raccolta dei dati e per i propositi per i quali sono usati (Articolo 7; definito in Articolo 4). Il consenso per soggetti di età inferiore ai 13 anni^[12] deve essere dato da un genitore o da chi eserciti la potestà, e deve essere verificabile (Articolo 8). I controllori dei dati devono essere in grado di provare il consenso ("opt-in") e il consenso può essere ritirato.^[13]

Funzionario per la protezione dei dati

Qualora l'elaborazione sia effettuata da un'autorità pubblica, fatto salvo per le corti o le autorità giudiziarie indipendenti agenti nella loro competenza giudiziaria, o qualora, nel settore privato, l'elaborazione sia effettuata da un controllore le cui attività principali consistono di operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico dei soggetti dei dati, una persona esperta di legislazione e pratiche relative alla protezione dei dati deve assistere colui che li controlla o li gestisce al fine di verificare l'osservanza interna al regolamento. Il funzionario per la protezione dei dati è una figura simile, ma non identica, al funzionario preposto all'osservanza, in quanto ci si aspetta che il primo abbia una buona padronanza dei processi informatici, della sicurezza dei dati (inclusa la gestione dei ciber-attacchi) e di altre questioni di coerenza aziendale riguardanti il mantenimento e l'elaborazione di dati personali e sensibili. L'insieme di competenze richieste si estende al di là della comprensione dell'osservanza legale di leggi e regolamenti sulla protezione dei dati. Il monitoraggio dei funzionari sarà responsabilità del regolatore e non del consiglio di amministrazione dell'organizzazione che assume il funzionario. La nomina di un funzionario entro una grande organizzazione rappresenterà una sfida sia per il consiglio di amministrazione, sia per il funzionario stesso. Considerati lo scopo e la natura della nomina, sono in gioco una miriade di questioni legate alla governance e a fattori umani che le organizzazioni e le aziende dovranno affrontare. Inoltre, chi detiene l'incarico dovrà creare un proprio team di supporto e sarà anche responsabile del proprio sviluppo professionale continuativo, dal momento che, come "mini-regolatore" ad ogni effetto, dovrà essere indipendente dall'organizzazione che lo ha assunto.

Fughe di dati

Sotto il GDPR, il funzionario indipendente per la protezione dei dati avrà l'obbligo legale di rendere note le fughe di dati all'autorità sovrintendente, senza ingiustificati ritardi; questo punto è ancora oggetto di trattative al momento presente. I resoconti delle fughe di dati non sono soggetti ad alcuno standard "de minimis" ed è probabile che il GDPR decreti che tali fughe vadano riferite all'autorità sovrintendente non appena se ne viene a conoscenza (Articolo 31). Le persone coinvolte vanno avvertite di eventuali effetti negativi delle fughe di notizie (Articolo 32).

Sanzioni

Possono essere comminate le seguenti sanzioni:

un'ammonizione scritta in casi di una prima mancata osservanza non intenzionale.
accertamenti regolari e periodiche sulla protezione dei dati
una multa fino a 10 milioni di euro, o fino al 2% del volume d'affari globale registrato nell'anno precedente nei casi previsti dall'Articolo 83, Paragrafo 4 o fino a 20 milioni di euro o fino al 4% del volume d'affari nei casi previsti dai Paragrafi 5 e 6.

Diritto alla cancellazione

Il cosiddetto diritto all'oblio è stato sostituito da un più limitato diritto alla cancellazione nella versione del GDPR adottata dal Parlamento Europeo nel marzo del 2014.^[14]^[15] L'Articolo 17 stabilisce che il soggetto dei dati ha il diritto di richiedere la cancellazione di dati personali relativi a sé sulla base di una qualsiasi di una serie di giurisdizioni che comprendono la mancata osservanza dell'articolo 6.1 (legalità), il quale include il caso (f) in cui gli interessi o i diritti fondamentali del soggetto dei dati richiedente la loro protezione prevalgono sui legittimi interessi del controllore.

Portabilità dei dati

Una persona deve essere in grado di trasferire i propri dati personali da un sistema di elaborazione elettronico a un altro senza che il controllore dei dati glielo impedisca. Inoltre, i dati devono essere forniti dal controllore in un formato strutturato e di uso comune. Il diritto alla portabilità dei dati è sancito dall'Articolo 18 del GDPR.^[8] Gli esperti legali vedono nella versione finale di questa misura la creazione di un "nuovo diritto" che "si estende oltre allo scopo della portabilità dei dati tra due controllori, così come stipulato dall'Articolo 18".^[16]

Cronologia

La sequenza temporale è

21 ottobre 2013: il Comitato del Parlamento Europeo su Libertà Civili, Giustizia e Affari Interni (LIBE) dà il proprio voto di orientamento.
15 dicembre 2015: le trattative tra il Parlamento Europeo, il Consiglio e la Commissione risultano in una proposta congiunta.
17 dicembre 2015: il LIBE dà il proprio voto positivo al risultato delle trattative nel dialogo a tre.
8 aprile 2016: adozione da parte del Consiglio dell'Unione Europea.^[17]
14 aprile 2016: adozione da parte del Parlamento Europeo.^[18]
Il regolamento è entrato in vigore 20 giorni dopo la sua pubblicazione sulla rivista ufficiale dell'UE il 4 maggio 2016.^[19]. Le sue disposizioni saranno direttamente applicabili in tutti gli stati membri a partire da due anni dopo questa data.

Dispute e tensioni

La proposta di un nuovo regolamento ha dato vita a molte discussioni e controversie. Sono stati proposti migliaia di emendamenti.^[20] Si supponeva che l'insieme unico di regole e la rimozione di requisiti amministrativi risultassero in un risparmio economico, ma i critici hanno sollevato queste obiezioni:

La richiesta di avere un funzionario per la protezione dei dati è nuova per molte nazioni europee ed è stata criticata da alcune per il carico amministrativo.
Il GDPR è stato sviluppato con un'attenzione particolare per i social network e i provider di servizi cloud, ma non ha preso in sufficiente considerazione i requisiti per il trattamento dei dati dei dipendenti.
La portabilità dei dati non è vista come un aspetto fondamentale per la protezione dei dati, ma più come un requisito funzionale per i social network e i provider di servizi cloud.
Sfide linguistiche e di personale per le autorità di protezione dei dati:
- Le imprese extraeuropee potrebbero preferire le DPA britanniche o irlandesi in virtù della lingua inglese. Questo implicherà l'uso di ampie risorse in quei paesi.
- I cittadini europei non avranno più una singola DPA da contattare per i propri problemi, ma dovranno rivolgersi alla DPA scelta dall'azienda coinvolta. Ci si possono aspettare problemi di comunicazione a causa delle lingue straniere.
Il nuovo regolamento è in conflitto con altre leggi, regolamentazioni e prassi non europee (ad esempio la sorveglianza da parte dei governi). Le imprese in tali paesi non andrebbero più considerate accettabili per la gestione dei dati personali nell'UE.
Le problematiche maggiori potrebbero riguardare l'implementazione in pratica del GDPR:
- L'implementazione del GDPR europeo richiederà un sostanziale cambiamento nelle pratiche commerciali per quelle imprese che non avevano implementato un livello confrontabile di privacy prima che il regolamento entrasse in vigore (soprattutto le imprese extraeuropee che trattano dati personali europei).
- Vi è già a tutt'oggi una carenza di esperti sulla privacy e i nuovi requisiti potrebbero peggiorare la situazione. Pertanto, la formazione nella protezione dei dati sarà un fattore cruciale per il successo del GDPR.
- La Commissione Europea e le DPA devono fornire risorse e poteri sufficienti per mettere in atto l'implementazione ed è necessario raggiungere un accordo su un livello uniforme di protezione dei dati da parte di tutte le DPA europee, poiché una interpretazione diversa del regolamento può comunque portare a livelli di privacy differenti.

Bibliografia

^ Testo di compromesso., su Consiglio dell'Unione europea, 11 giugno 2015.
«"Diversi orientamenti generali parziali hanno consentito una convergenza di vedute in sede di Consiglio sulla proposta concernente un regolamento generale sulla protezione dei dati nella sua integralità."»
^ EUR-Lex - l14012 - EN - EUR-Lex, su Leggi dell'Unione europea. URL consultato il 15 ottobre 2016.
^ Commissione Europea - Fact Sheet. Domande e risposte sulla riforma della Data protection (in inglese), su europa.eu, European Commission, 21 dicembre 2015.
^ Blackmer, W.S., GDPR: Getting Ready for the New EU General Data Protection Regulation, su Information Law Group, InfoLawGroup LLP, 5 maggio 2016. URL consultato il 22 giugno 2016.
^ Le sanzioni privacy nel nuovo regolamento europeo, in PRIVACY NEWS Studio Legale SIB. URL consultato il 15 ottobre 2016.
^ ^a ^b "Inofficial consolidated version GDPR".
^ Article 83 (5) of The Council's first reading after the trilogue sets maximum fines to be the highest of 4% of global turnover and 20 million Euro.
^ ^a ^b Proposal for the EU General Data Protection Regulation.
^ European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25 January 2012.
^ The Proposed EU General Data Protection Regulation.
^ "GDPR proposal"
^ Regulation article 8:"For the purposes of this Regulation, in relation to the offering of information society services directly to a child, the processing of personal data of a child below the age of 13 years shall only be lawful if and to the extent that consent is given or authorised by the child's parent or custodian."
^ "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide".
^ Tony Baldry e Oliver Hyams, The Right to Be Forgotten, su 1essexcourt.wordpress.com, 1 Essex Court.
^ European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), su europarl.europa.eu, European Parliament.
^ The Final European Union General Data Protection Regulation, by Cedric Burton, Laura De Boel, Christopher Kuner, Anna Pateraki, Sarah Cadiot and Sára G. Hoffman, Section II, 4, su bna.com, Bloomberg BNA, 12 febbraio 2016.
^ Data protection reform: Council adopts position at first reading
^ Data protection reform - Parliament approves new rules fit for the digital era
^ EU Official Journal issue L 119
^ Overview of amendments.

Collegamenti esterni

Portale Diritto: accedi alle voci di Wikipedia che trattano di diritto

[1] Testo di compromesso., su Consiglio dell'Unione europea, 11 giugno 2015.
«"Diversi orientamenti generali parziali hanno consentito una convergenza di vedute in sede di Consiglio sulla proposta concernente un regolamento generale sulla protezione dei dati nella sua integralità."»

[2] EUR-Lex - l14012 - EN - EUR-Lex, su Leggi dell'Unione europea. URL consultato il 15 ottobre 2016.

[police_directive-3] Commissione Europea - Fact Sheet. Domande e risposte sulla riforma della Data protection (in inglese), su europa.eu, European Commission, 21 dicembre 2015.

[BlackmerGDPR16-4] Blackmer, W.S., GDPR: Getting Ready for the New EU General Data Protection Regulation, su Information Law Group, InfoLawGroup LLP, 5 maggio 2016. URL consultato il 22 giugno 2016.

[5] Le sanzioni privacy nel nuovo regolamento europeo, in PRIVACY NEWS Studio Legale SIB. URL consultato il 15 ottobre 2016.

[janalbrecht.eu-6] "Inofficial consolidated version GDPR".

[7] Article 83 (5) of The Council's first reading after the trilogue sets maximum fines to be the highest of 4% of global turnover and 20 million Euro.

[:0-8] Proposal for the EU General Data Protection Regulation.

[9] European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25 January 2012.

[10] The Proposed EU General Data Protection Regulation.

[:1-11] "GDPR proposal"

[12] Regulation article 8:"For the purposes of this Regulation, in relation to the offering of information society services directly to a child, the processing of personal data of a child below the age of 13 years shall only be lawful if and to the extent that consent is given or authorised by the child's parent or custodian."

[privacyassociation-13] "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide".

[1_Essex_Court-14] Tony Baldry e Oliver Hyams, The Right to Be Forgotten, su 1essexcourt.wordpress.com, 1 Essex Court.

[15] European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), su europarl.europa.eu, European Parliament.

[data_portability-16] The Final European Union General Data Protection Regulation, by Cedric Burton, Laura De Boel, Christopher Kuner, Anna Pateraki, Sarah Cadiot and Sára G. Hoffman, Section II, 4, su bna.com, Bloomberg BNA, 12 febbraio 2016.

[17] Data protection reform: Council adopts position at first reading

[18] Data protection reform - Parliament approves new rules fit for the digital era

[eujournalpublication-19] EU Official Journal issue L 119

[20] Overview of amendments.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

Regolamento generale sulla protezione dei dati

Indice

Riepilogo

Contenuto

Scopo

Insieme unico di regole e sportello unico

Responsabilità

Consenso

Funzionario per la protezione dei dati

Fughe di dati

Sanzioni

Diritto alla cancellazione

Portabilità dei dati

Cronologia

Dispute e tensioni

Bibliografia

Collegamenti esterni

Menu di navigazione

Regolamento generale sulla protezione dei dati

Riepilogo

Contenuto

Scopo

Insieme unico di regole e sportello unico

Responsabilità

Consenso

Funzionario per la protezione dei dati

Fughe di dati

Sanzioni

Diritto alla cancellazione

Portabilità dei dati

Cronologia

Dispute e tensioni

Bibliografia

Collegamenti esterni

Menu di navigazione

Ricerca