Le nuove norme e gli emendamenti al regolamento Europeo della Privacy: la Rivoluzione in arrivo

Se ne parla, ma non abbastanza.

La Privacy non sarà più la stessa. Una vera rivoluzione e’ in atto. Emendamento dopo emendamento.

Nonostante i lavori fossero iniziati gia da qualche anno da parte del Gruppo dei Garanti ex art. 29 della direttiva e cioè da quando percepirono quello che venne definito l’ “effetto diluvio” (una immensa immissione in rete di dati personali, spontanea e imprevedibile) la data di inizio del cambiamento e’ il 25 Gennaio 2012, quando la Commissione Europea formulo’ due proposte normative che hanno lo scopo di sconvolgere l’impianto giuridico degli Stati membri in materia di privacy e data protection.

Di questo e di altro ancora si parlerà al mio prossimo Seminario a Milano il 26 aprile 2013  http://www.monicagobbato.it/?page_id=9

Si tratta di un Regolamento, avente portata generale, che andrà a sostituire la ormai obsoleta direttiva 95/46 CE e di una nuova direttiva , che dovrà disciplinare i trattamenti di dati per finalità di giustizia e di polizia. Interessante innanzitutto la decisione di adottare un “regolamento”, atto giuridico vincolante ed immediatamente applicabile in ciascuno degli stati membri, che non necessita di alcun atto di recepimento o di attuazione.

Ma esaminiamo nel dettaglio l’ambito di operatività del nuovo impianto normativo che prevede prima di tutto un’estensione extraterritoriale della portata delle norme contenute che saranno efficaci anche al di fuori del territorio dell’Unione, quando soggetti extracomunitari  eseguiranno trattamenti di dati personali volti a controllare i comportamenti o ad offrire beni e/o servizi a cittadini europei.

Già  questo e’ di per se’ uno sconvolgimento epocale dell’attuale assetto privacy perche’ prende atto e tenta di risolvere la inadeguata applicazione territoriale della disciplina attuale non più in grado di proteggere gli utenti dalle conseguenze del massiccio uso dei social network, dallo smodato abuso di tecnologie  profilanti mediante cookies e dall’avvento del cloud computing.

Ora la Privacy si applica Sempre a prescindere dal fatto che il Titolare sia localizzato  in Italia, ad Antigua o puranco su una piattaforma in mezzo al mare.  Ma procediamo con le novità piu eclatanti. All’art. 5. viene introdotto il principio dell’accoountability dei titolari del trattamento in virtù del quale spetta agli stessi un obbligo generalizzato e preventivo di garantire e dimostrare (mediante una serie indefinita di documenti) la propria conformità al Regolamento in relazione ad ogni singolo trattamento svolto.

L’art. 6  invece, introduce uno degli istituti fondamentali e cioe’ il diritto dell’utente di esprimere in maniera preventiva il consenso al trattamento delle proprie informazioni, per limitare e contenere il più possibile fenomeni di massa come ad esempio la profilazione a fini di pubblicità comportamentale. Il Titolare sarà anche gravato dall’onere di fornire la prova del consenso di quello specifico trattamento autorizzato che potrà sempre essere revocato dall’interessato, cioe’ il soggetto cui i dati si riferiscono.

Si codifica, in tal senso, il principio dell’inversione dell’onere probatorio circa la liceità del trattamento. Modifiche importanti riguardano anche l’informativa, la quale dovrà contraddistinguersi per facilità di consultazione e chiarezza di forma (si parla di informative a cartoni animati). Ancora piu sconvolgenti le disposizioni che vanno dall’art.16 (diritto di rettifica) in poi, le quali introducono elementi di grande innovazione.

Viene finalmente sancito all’art. 17 il diritto all’oblio  ovvero il potere concesso all’interessato di rimuovere ogni traccia inerente le proprie informazioni personali  allorquando le stesse non siano strettamente necessarie in relazione alle finalità per cui sono state raccolte e qualora non sussistano legittime cause per procrastinarne il trattamento ( pensiamo soprattutto a quelle pregiudizievoli). Ulteriore menzione, inoltre, merita il diritto alla portabilità dei dati il quale comporta in capo ai fornitori di servizi  l’onere di fornire, su richiesta, la copia dei dati in formato elettronico al soggetto cui gli stessi ineriscono.

L’art. 23 introduce gli auspicati canoni della privacy by-design  volti sostanzialmente ad obbligare i Titolari dei trattamenti ad implementare misure tecniche che garantiscano, sin dalla progettazione del prodotto , hardware e software, la conformità  alle disposizioni previste nell’emanando regolamento.   Davvero rivoluzionaria l’introduzione della figura del Data Protection Officer – obbligatoria per enti pubblici e imprese con più di 500  interessati (trattati) – che potrà essere sia  un soggetto interno che esterno alla struttura aziendale, appositamente incaricato dalla stessa al coordinamento e all’implementazione dell’intera “gestione della privacy”, vero e proprio alter ego del Titolare e punto di riferimento per l’autorità  (art. 35). Le aziende dovranno permettergli di svolgere al meglio detto incarico attribuendogli uffici, attrezzature, persone. Lo stesso relazionerà direttamente al Cda.

Ancora innovativo (seppur già introdotto in Italia un alcuni settori come banche e telecomunicazioni) l’obbligo di notifica della violazione all’Autorità (e in casi gravi anche all’interessato) ovvero il dovere per i Titolari del trattamento di notificare senza ritardo, e quando possibile entro le 72 ore dall’avvenuta conoscenza, eventuali violazioni di dati sottoposti a trattamento in modo tale da minimizzarne i danni. Importanti novità riguardano anche la collaborazione tra diverse Autorita’ che dovranno interagire in ogni fase (ispettiva e sanzionatoria) per garantire l’applicazione del Regolamento.

Questo rafforzamento delle tutele privacy non può che essere visto in un ottica di sviluppo dei mercati on-line che riusciranno ad essere davvero affidabili solo quando saranno effettivamente competitivi.

Di questo e di altro ancora si parlerà al mio prossimo Seminario a Milano il 26 aprile 2013  http://www.monicagobbato.it/?page_id=9