Dopo un iter durato quasi quattro anni si scrive finalmente l’ultimo capitolo del nuovo Regolamento Europeo sulla protezione dei dati che armonizzerà l’attuale frammentazione legislativa tra i Paesi, introducendo un testo normativo di riferimento, comune e condiviso, tra tutti i 28 Stati dell’Unione. In Italia andrà in pensione l’attuale Codice Privacy, datato 2003. La riforma si struttura su due strumenti sostanziali: il Regolamento per la protezione dei dati e una Direttiva connessa al trattamento dei dati riferita al settore giustizia. Quest’ultima è finalizzata a facilitare la cooperazione tra Paesi, nel rispetto dei dati, per vittime, sospettati, testimoni e, al tempo stesso, vuole favorire un comune e più efficace fronte d’azione contro criminalità e terrorismo.
Al centro del nuovo Regolamento, il cittadino, che godrà di un maggiore controllo sui propri dati personali e di un più facile accesso agli stessi, nell’ottica di una crescente consapevolezza del loro trattamento.
Dai testi approvati dal trilogo, al termine dei negoziati finali tra le tre istituzioni, risultano confermate novità di primaria importanza, già contenute nell’originaria proposta del gennaio 2012, e nello specifico:
– Modalità di accesso ai dati più semplici per gli interessati;
– Il diritto alla portabilità dei dati;
– Il diritto all’oblio;
– Le notificazioni delle violazioni alle autorità nazionali e anche agli utenti, nei casi più gravi di violazione (data breaches).
La ratio di convogliare in un unico testo l’intera materia della protezione dei dati personali va certamente letta sotto una duplice veste: uniformare i diritti dei cittadini europei ma anche disciplinare in modo coordinato l’impatto economico-organizzativo delle aziende titolari del trattamento, onde evitare frazionamenti e dispersioni che, sino ad oggi, sono costate care in particolare alle PMI ed alle multinazionali; le prime dovendo sostenere obblighi normativi talvolta sproporzionati, le seconde dovendo affrontare, in modo diversificato, la normativa presso le singole sedi collocate in differenti Paesi.
Inutile sottolineare che, nell’economia digitale, i dati rappresentano il principale carburante e la fonte di valore primaria. La creazione di norme omogenee costituisce oggi un essenziale passo in avanti a favore di scenari di business più ampi e di una notevole spinta al processo di innovazione. Tra gli obiettivi del Regolamento, sicuramente, anche quello di agevolare lo sviluppo di un mercato unico digitale a livello europeo. Per favorire le opportunità di business i legislatori hanno delineato alcuni principi guida, tra cui:
– Un continente, una sola regolamentazione che faciliterà le aziende nelle attività di organizzazione e protezione del business (ricordiamoci che proteggere i dati vuol dire proteggere spesso anche le informazioni aziendali!);
– Il meccanismo di one-stop-shop, per cui le imprese si riferiranno ad un’unica Autorità di vigilanza;
– Regole europee su suolo europeo: anche le aziende che hanno sede fuori dal territorio europeo dovranno rispettare il Regolamento per l’offerta dei propri servizi da erogare sul suolo UE (finita l’epoca del Fornitore secondo il quale se si scelgono i suoi servizi si accettano necessariamente anche le modalità di gestione oltre i confini europei, “prendere o lasciare”);
– Impatto normativo basato anche sul livello di rischio relativo alla tipologia di dati.
Per piccole e medie imprese il nuovo quadro europeo prevede vantaggi economici e pratiche burocratiche più snelle. Secondo le nuove regole, le PMI beneficeranno di quattro riduzioni: nessun obbligo di notifica alle autorità di vigilanza, con un risparmio di 130 milioni di euro ogni anno; possibilità di addebitare un contributo agli interessati per le richieste di accesso ai dati, laddove risultino manifestamente infondate o eccessive; esenzione, per le PMI dall’obbligo di nominare un Data Protection Officer, salvo casi specifici che saranno indicati nel testo definitivo, dettati dalla tipologia/quantità di dati trattati o collegati al core business; nessun obbligo di effettuare una valutazione di impatto – privacy impact assessment – purché non vi sia un rischio elevato.
Ricordiamo inoltre l’introduzione da parte del Regolamento, del concetto di ‘Data protection by design’. In altre parole ogni Titolare del trattamento dovrà assicurare la presenza di garanzie di protezione dei dati, a partire dalla prima fase di sviluppo di prodotti e servizi. Un aspetto, quest’ultimo, che invece impatterà sulle aziende ed in particolare sull’area ICT.
In ultimo, cambierà radicalmente il sistema sanzionatorio: le sanzioni saranno calcolare in base al fatturato mondiale annuo (in prima versione 4%, poi 2%, resta da capire quale sarà la percentuale individuata nel testo definitivo).
Oggi, 17 dicembre, la Commissione per le libertà civili ha attuato una prima votazione raggiungendo un accordo informale; i testi definitivi saranno disponibili, a quanto annunciato nel comunicato ufficiale, dopo la votazione di Parlamento e Consiglio, a partire dalla primavera 2016. Due gli anni previsti per il recepimento e l’adeguamento. A questo punto occorrerà visionare il testo conclusivo per comprendere l’impatto organizzativo, economico ed informatico per le aziende europee, e, nel nostro Paese, andarle a raccordare con la normativa vigente su altri fronti (vedi 231, jobs act, ecc.). Ricordiamo comunque che gli adempimenti attuali del Codice Privacy, peraltro derivanti da una Direttiva Europea, sono il “minimo sindacale” che oggi le aziende devono rispettare per poter essere traghettate adeguatamente verso il Regolamento. E siamo sicuri che le imprese siano già allineate almeno alla normativa attuale?