A breve entrerà in vigore il nuovo regolamento europeo in materia di privacy e protezione dei dati personali che andrà a sostituire la direttiva 95/46/CE in materia di protezione delle informazioni e tutte le leggi privacy attualmente vigenti nei Paesi membri. Lo scopo di questo documento è quello di uniformare la tematica all’interno degli stati membri in considerazione del fatto che molti dei dati privati viaggiano e sono raccolti tramite internet, per cui non si poteva continuare con legislazioni per singoli paesi.
Si prevede che il nuovo regolamento europeo inerente la privacy entrerà in vigore a gennaio 2014. Aspetto da sottolineare è che i Regolamenti Europei sono direttamente ed immediatamente esecutivi e non necessitano il recepimento da parte degli Stati membri per cui le normative in vigore verranno soppiantate da queste nuove disposizioni.
La tematica inerente la privacy subirà una rivoluzione per le aziende e gli enti che dovranno di avere adottato tutte le misure ed i comportamenti adeguati per gestire in modo corretto i dati, passando così da un sistema formalistico a un sistema di alta responsabilizzazione delle imprese e degli enti.
Tra le novità di maggiore rilievo sottolineiamo alcuni aspetti:
Ambito di applicazione della norma che si estende oltre i confini UE, se relativi all’offerta di beni o sevizi a cittadini UE.
Attuazione del principio della Privacy by design vale a dire che già nelle fasi di progettazione di un sistema di gestione dell’informazione si devono prevedere delle soluzioni in grado di garantire che siano trattati solo i dati personali necessari per ciascuna finalità specifica del trattamento.
Per le organizzazioni che trattano dati ed informazioni rischiose saranno necessarie valutazioni preliminari sulle procedure e le condizioni attuate dall’azienda per la protezione dei dati e saranno necessarie valutazioni d’impatto sulla protezione dei dati personali. Per contro non vi sarà più obbligo di notificazione all’autorità, aspetto che semplifica le attività d’impresa;
Diritto all’oblio e gestione della conservazione del dato che prende spunto dalla necessità di garantire gli interessati dalla diffusione die dati nella rete. Le disposizioni evidenziano la possibilità da parte del soggetto di chiedere la cancellazione dei propri dati che lo riguardano e ad impedirne la loro diffusione. Il principio stabilisce inoltre che chi pubblica dei dati personali, potrà essere obbligato ad informare i terzi (che trattano i medesimi dati), della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Per garantire tale diritto, è necessario che il Titolare del trattamento prenda tutte le misure ragionevoli, anche di natura tecnica, in relazione ai dati della cui pubblicazione è responsabile.
Istituzione della figura del Privacy Officer per le aziende con più di 500 dipendenti e per gli enti pubblici, che dovrà essere competente sulla materia e potrà essere esterno all’ente/impresa. Questa figura professionale avrà un incarico della durata di 4 anni, e la sua nomina dovrà essere notificata all’autorità competente.
La proposta di Regolamento prevede che il consenso al trattamento deve essere manifestato in maniera esplicita. Quindi l’accettazione passiva del trattamento dei dati non costituisce una forma di consenso valida. Comparirà una più severa disciplina sull’ opt-in (il consenso preventivo dell’utente) per i cookie pubblicitari online, utilizzati da social network e motori di ricerca per conoscere i comportamenti degli utenti e sfruttati per operazioni di marketing.
Diritto alla portabilità dei dati personali: l’interessato potrà esigere, per esempio, da un fornitore di servizi cloud di rubrica on line, la rapida e facile esportabilità dei propri dati personali in un formato compatibile con i sistemi di altri cloud service providers. Più in generale, quindi, l’interessato avrà diritto alla massima trasparenza e ad essere debitamente informato su ogni trattamento dei propri dati personali;
Obbligo di conservazione dei documenti con le informazioni che descrivono le operazioni di trattamento dei dati, in sostanza si reintegra un documento che descrive le regole e le procedure di gestione delle banche dati, un documento che avrà molti aspetti comuni al Documento Programmatico della Sicurezza previsto dal D Lgs 196/03.
Obbligo di notifica nel caso si verifichi il danneggiamento, il furto o la perdita totale o parziale di un dato personale o sensibile ogni Azienda avrà l’obbligo di comunicare tempestivamente all’interessato l’accaduto e in alcuni casi di procedere alla notifica all’Autorità Garante per la protezione dei dati personali;
Sanzioni L’art. 79 della proposta di Regolamento, confermato anche dal progetto di Relazione parlamentare, prevede sanzioni amministrative pecuniarie particolarmente elevate (fino al 2% del fatturato mondiale annuo).