Con il voto della commissione Libertà civili, giustizia e affari interni del Parlamento Europeo giunge a conclusione l’iter di introduzione, dopo quasi quattro anni di gestazione , del nuovo Regolamento Europeo sulla protezione dei dati, che punta ad essere una svolta storica sulla armonizzazione delle diverse legislazioni nazionali in materia di dati personali, attraverso la proposizione di un testo unico di riferimento, direttamente applicato in tutti gli stati dell’Unione Europea. In particolare, in Italia, dovremo definitivamente abbandonare l’attuale Codice Privacy, risalente all’ormai lontano 2003.
#EPlenary : Votes on #EUdataP on reports by MEPs @JanAlbrecht & @LauristinMarju VIDEO https://t.co/6iM1hMVJxU
https://t.co/vOGtUzAy4I
– EP Audiovisual (@europarlAV) 17 Dicembre 2015
Due sono i punti su cui sostanzialmente la riforma si incentra: il Regolamento per la protezione dei dati ed una Direttiva connessa al trattamento dei dati in materia di giustizia. Quest’ultimo documento risulta necessario affinché si realizzi una cooperazione maggiormente efficace tra i diversi Paesi membri, nel pieno rispetto dei dati trattati di vittime e testimoni, anche alla luce dei recenti fatti terroristici che hanno martoriato l’Europa.
Il cuore di questo Regolamento è da individuarsi nel maggiore potere di controllo assegnato al cittadino sui propri dati personali , con facilitazioni anche sul versante dell’accesso agli stessi in considerazione della sempre maggiore responsabilità e coscienza collettiva che nel corso del tempo si è costantemente sviluppata. Con la pronuncia del trilogo e la successiva approvazione dei testi oggetto di dialogo tra le varie istituzioni, molti degli elementi di novità, inseriti già nella versione del 2012, risultano confermati. Di particolare interesse sono le disposizioni sulle notificazioni delle violazioni agli utenti interessati ed alle autorità nazionali nei casi di data breach , sul diritto all’oblio , sul diritto alla portabilità dei dati (anche rispetto all’incremento delle sempre più diffuse wearable technology) ed in generale sulle modalità di accesso ai dati da parte degli interessati, decisamente più semplificate.
Risulta dunque duplice lo scopo del convogliare all’interno di un unico testo l’intera disciplina sulla protezione dei dati personali. Da un lato, infatti, si assiste ad una uniformazione dei diritti dei cittadini residenti nel territorio dell’Unione, dall’altro è evidente l’intento di evitare che una normativa così di impatto sulle politiche e sui processi della aziende titolari del trattamento sia frammentaria nei vari Paesi del Vecchio Continente, garantendo, in virtù dello strumento normativo utilizzato, una legislazione uniforme utile ad assicurare un operato chiaro e paritetico sul mercato unico (eccezione saranno, però, ad esempio, i limiti si età per accedere ai servizi online, la cui fissazione sarà responsabilità dei singoli stati). Un simile discorso vale certamente sia per le grandi realtà operanti in campo internazionale , sino ad ora perennemente alla ricerca di un’uscita dal labirinto normativo intrecciato dalle diverse legislazioni dei Paesi membri, sia per le piccole e medie imprese, le quali già si sono viste vessate di numerosi obblighi normativi talvolta del tutto fuori portata. Non occorre rimarcare che ormai siamo in presenza di una vera e propria economia digitale, dove il dato è divenuto la prima valuta corrente, un vero e proprio asset da tutelare. Proprio per questo motivo è necessario procedere con una normativa a carattere maggiormente unitario, tale che possa garantire la crescita dell’innovazione ed incoraggiare le attività di business.
Un altro degli obiettivi del Regolamento è sicuramente di agevolare lo sviluppo di un mercato digitale unico a livello europeo. In quest’ottica, ed al fine di favorire le opportunità di business, sono stati previsti una serie di principi guida. Tra questi emergono:
-Una sola regolamentazione per un solo continente: proteggere i dati aziendali equivale a proteggere il business. Con l’avvento di una regolamentazione univoca si ha una netta facilitazione in tal senso;
-L’uso del meccanismo one-stop-shop è da considerarsi come primario. Attraverso di esso le aziende avranno la possibilità di riferirsi ad una Autorità univocamente delineata;
-L’applicazione della normativa europea in paesi dell’Unione Europea. Anche le aziende con sede all’esterno dell’UE che prestano propri servizi a cittadini europei, saranno tenute a rispettare il Regolamento. In altre parole, non si segue più la regola generale che rinveniva la scelta delle modalità di gestione di un servizio come decisione unicamente ascrivibile al fornitore del servizio.
-Normativa proporzionata al rischio: l’impatto del Regolamento sarà differente a seconda del livello di rischio in cui rientra la tipologia di dato trattato.
Alcune novità investono pienamente il mondo delle piccole medie imprese . Per queste realtà sono previsti ulteriori vantaggi di ordine economico e uno snellimento diffuso delle pratiche burocratiche. Stando al testo del nuovo regolamento, le PMI godranno di un novero di riduzioni quali:
-Assenza di obbligatorietà della notifica nei riguardi dell’Autorità di vigilanza. Una simile previsione permetterà di risparmiare annualmente circa 130 milioni di euro;
-Addebito nei confronti di coloro i quali richiedano l’accesso ai dati in circostanze che rendano tale atto eccessivo o privo di fondamento;
– Mancanza dell’obbligo di nomina del DPO (Data Protection Officer) per tutte le PMI, tranne che per quelle particolari categorie delle stesse che saranno indicate all’interno del testo nella sua versione definitiva. Chiaramente il criterio seguito sarà quello della relazione tra quantità/tipologia dei dati e congruenza con il core business;
-In caso non vi sia un rischio elevato sulla sicurezza dei dati, le PMI possono ritenersi esenti dall’obbligo di effettuare un privacy risk assessment (ovvero una valutazione dei rischi sul lato privacy);
Occorre inoltre ricordare l’introduzione nel testo del Regolamento di un concetto del tutto nuovo, quello di privacy by design . Si tratta sostanzialmente della garanzia di protezione dei dati, che dovrà essere assicurata da ogni Titolare del trattamento, sin dalle prime fasi di sviluppo dei prodotti e dei servizi. Certamente, un aspetto come questo impatterà notevolmente su tutte le aziende, ed in particolare per quelle del settore ICT, anche rispetto alle attività richieste ai fornitori e nei servizi in outsourcing.
Ulteriore cambiamento essenziale è quello che investe il sistema sanzionatorio : con l’applicazione del nuovo regolamento le sanzioni saranno ora da applicare sulla base del fatturato mondiale annuo (le percentuali sino ad ora ipotizzate sono del 4 e del 2 per cento. Occorrerà vedere quali saranno le previsioni del testo definitivo). La Commissione per le libertà civili si è espressa con un comunicato stampa in cui auspica l’approvazione del testo nella sua versione definitiva da parte del Parlamento Europeo riunito in seduta comune nella primavera del 2016 (l’indicazione data verte per ora nel periodo tra Marzo e Aprile), confermando che il tempo affinché i Paesi membri procedano alla sua implementazione sarà pari a 2 anni dalla data dell’entrata in vigore. Per ulteriori chiarimenti si attende quanto verrà trattato dalla conferenza stampa al riguardo, ufficialmente fissata per Lunedì 21 Dicembre alle ore 14.00.
Non è ancora chiaro quale sarà l’impatto organizzativo, economico ed informatico per le aziende europee. In particolare, fino a quando il nuovo testo non sarà effettivamente coercitivo resta ferma in Italia l’applicazione delle previsioni sancite all’interno del Codice Privacy (il quale comunque è di diretta derivazione dalla Direttiva Madre Europea 95/46). Altre normative rilevanti da considerare anche in previsione del nuovo Regolamento sono il D.Lgs. 231 per gli aspetti relativi alla prevenzione dei reati informatici, il testo dell’art. 4 dello Statuto dei Lavoratori così come riformato dal Jobs Act ed altre normative nazionali di settore, che rappresentano il “livello minimo” che le aziende sono tenute a rispettare per poter poi traslare in sicurezza verso il Regolamento in dirittura di approvazione.
Avv. Valentina Frediani
Founder Colin & Partners