Con il nuovo regolamento Ue sulla data protection sarà più facile fare affari in Europa, sia per le multinazionali sia per le Pmi. Ne è convinto Fabio di Resta, avvocato esperto di privacy, che spiega a CorCom le principali novità.
Lo scorso 14 aprile il Parlamento europeo in seconda lettura ha approvato definitivamente il regolamento europeo sulla protezione dei dati personali, pertanto, sembrerebbe che proprio che lo slogan “One Continent, One Law” sia devenuto una realtà cosa ne pensa a riguardo?
Si tratta di uno slogan reso pubblico dalla Vice Presidente della Commissione europea, Viviane Reding, quanto il percorso di approvazione era ancora irto di ostacoli e difficoltà, soprattutto da parte di alcuni Stati Membri che solo apparentemente sostenevano un’idea di armonizzazione del diritto comunitario di questo settore. L’idea efficace dello slogan era di rendere consapevoli gli europei, e non solo, dell’importanza di una legge pan-europea sulla protezione dei dati personali. Più nel merito, da una parte vi era quindi l’esigenza di aggiornare la direttiva privacy risalente al 1995, dall’altra questo passaggio critico era indispensabile per avviare il percorso di realizzazione di un mercato unico digitale. Lo slogan è certamente divenuto un realtà, infatti, il nuovo regolamento europeo entrerà in vigore entro venti giorni successivi alla pubblicazione in Gazzetta Ufficiale dell’Unione europea. E’ previsto un periodo preparatorio di 24 mesi per l’applicazione del nuovo regolamento, molte le novità rispetto al Codice della Privacy.
L’impatto del nuovo regolamento avrà beneficio anche dello sviluppo economico in un contesto difficile come l’attuale?
Difficile dare una risposta univoca, nel regolamento ci sono notevoli semplificazioni, in un’ottica europea e non solo italiana, come l’abolizione di obblighi generalizzati di notificazione, analogamente è previsto un sportello unico che consente alle multinazionali con più stabilimenti in Europa di dialogare con un solo Garante privacy. Lo Sportello unico (c.d. One-Stop-Shop) da una parte consente alle multinazionali con diversi stabilimenti in Europa di dialogare con una sola Autorità garante nazionale, così semplificando notevolmente gli oneri burocratici, dovendo invece attualmente dialogare con ciascun Paese in cui è insediato lo stabilimento. Dall’altra parte, a fini della tutela degli interessati gli stessi, in base ad principio di prossimità, potranno rivolgersi al proprio Garante nazionale o in alternativa alle autorità giurisdizionali nazionali del proprio Stato Membro. Il principio di prossimità consente all’interessato di non doversi rivolgere direttamente nel luogo di stabilimento del titolare, si pensi per esempio a situazioni come il caso Schrems il quale ha dovuto rivolgersi necessariamente al Garante irlandese nonostante lui fosse residente in Austria. L’esempio richiamato è solo parzialmente calzante, perché il caso Schrems riguarda l’accordo Privacy Shield relativo a trasferimenti dei dati degli europei verso gli USA ma il principio di prossimità dovrà essere necessariamente applicato anche il quel contesto. Infine, a fronte di nuovi adempimenti è previsto un ampio regime di esenzioni per le piccole e medie imprese, come anche per i professionisti.
Ci accennava che ci saranno anche altri adempimenti, quali saranno?
E’ prevista una nuova figura professionale obbligatoria il Responsabile per la protezione dei dati personali (Data Protection Officer o DPO). Il DPO è un supervisore indipendente che sarà designato da soggetti apicali sia dalle pubbliche amministrazioni che in ambito privato. Sarà pertanto obbligatorio nelle pubbliche amministrazione e negli enti pubblici, in ambito privato sarà obbligatorio in alcune circostanze quando per esempio tenuto conto dell’ambito applicativo, della natura e delle finalità, il trattamento riguarderà un monitoraggio regolare e sistematico dei dati personali dell’interessato su larga scala, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili oppure giudiziari (escluse comunque le autorità giurisdizionali). Pertanto, è fuori dubbio una figura obbligatoria per le pubbliche amministrazione centrali e locali, e nel privato sarà obbligatorio sicuramente nel settore sanitario e per gli operatori economici che svolgono attività di profilazione su larga scala. A seconda del contesto in cui dovrà operare si troverà ad affrontare questioni giuridiche e tecniche-informatiche più o meno complesse, qualora il titolare del trattamento non operi solo in Italia dovrà essere in grado di gestire questioni transnazionali sia all’interno dell’Unione Europea (rectius Spazio Economico Europeo, che come noto include oltre agli Stati Membri dell’EU anche il Liechtenstein, l’Islanda e la Norvegia) sia fuori dalla stessa. Passando all’analisi del ruolo di Data Protection Officer, lo stesso viene disciplinato molto più in dettaglio nella proposta del nuovo regolamento rispetto al responsabile ex art. 29 del nostro Codice della Privacy, se ne riportano schematicamente i principali elementi soggettivi in riferimento alla designazione. In primo luogo gli elementi identificativi di questa figura possono essere indicati con i requisiti negativi: assenza di un conflitto di interessi con altre funzioni a lui affidate; non ingerenza nell’esercizio delle sue funzioni da parte del responsabile o incaricato; <>. L’elenco sopra illustrato, come già accennato, mostra un elemento cruciale che differenzia un DPO da un responsabile privacy ex art. 29, mentre il primo deve essere indipendente e autonomo, invece il secondo deve agire seguendo solo e soltanto le istruzioni del titolare del trattamento, pertanto, un vincolo che impedisce di godere di ampia indipendenza, tipica del ruolo del DPO.
Si possono elencare i compiti affidati al DPO?
Si possono elencare come segue: 1) sorvegliare sulla corretta applicazione della normativa sulla protezione dei dati europeo ed italiana, nonché l’osservanza del politiche interne dell’ente, inoltre, dovrà sorveglianza in ordine a << l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo>>; 2) fornire pareri e sorvegliare alla corretta esecuzione di una Data protection impact assessment (c.d. Dpia); 3) fungere da contact point e collaborare con l’Autorità Garante per la protezione dei dati personali. Il DPO potrà anche essere un dipendente interno all’azienda oppure esterno in forza di un contratto di servizi. Per quanto riguarda altri aspetti, come accennavo sopra il regolamento è ispirato ad un principio di semplificazione degli oneri, i singoli professionisti e piccole e medie imprese sono escluse da un serie di oneri. Per esempio i considerandi nn. 89 e 91 del regolamento prevedono, da una parte l’abolizione di obblighi generali ed indiscriminati di notifica e dall’altra l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali (Data Protection Impact Assessment) con particolare riguardo ai trattamenti su larga scala. In riferimento agli incidenti informatici, la procedura di garanzia degli interessati (contraenti) coinvolti nella violazione dei dati personali (c.d. Data Breach Notification) non sarà più solo limitata ai soli fornitori di servizi di comunicazioni elettroniche, ma avrà una portata estesa che potrà riguardare i diversi operatori dalla sanità agli operatori di internet e altri. Altra importante novità è che Il regolamento sarà applicabile a tutti gli operatori anche se offrono solo online prodotti e/o servizi ai cittadini europei, applicazione quindi universale ed extraterritoriale del regolamento. Questa disposizione è importante perché consentirà di applicare regolamento anche a tutti gli operatori che non dispongono uno stabilimento in Europa.
Ci sarà qualche cambiamento in termini di Istituzioni europee di compiti dei Garanti privacy nazionali?
L’impianto generale del regolamento prevede che i Garanti nazionali dovranno collaborare continuamente sul contesto europeo ed internazionale, dialogando tra di loro secondo un principio di assistenza reciproca e di un meccanismo di coerenza. Per agevolare tali attività, ma anche con altri compiti importanti, è previsto un nuovo organismo il Comitato europeo per la protezione dei dati (considerando n. 72), all’art. 75 è previsto che “Il comitato dispone di una segreteria messa a disposizione dal garante europeo della protezione dei dati”, pertanto sarà il Garante europeo per la protezione dei dati personali a gestire questo importante aspetto. Questo Comitato sostituisce il Gruppo europeo del Garanti (Gruppo articolo 29), il cui segretariato è invece attualmente affidato alla Commissione europea.
Ci saranno specifici benefici in termini di protezione dei dati personali per i cittadini?
Ritengo che vi siano certamente dei benefici per i cittadini, in termini di maggiore trasparenza e di tutela. In Primo luogo vengono riconosciuti importanti principi, l’accountability ovvero un obbligo del rendiconto delle attività che incidono sulla protezione dei dati personali ma in un’ottica proattiva, per esempio il considerando n. 74 asserisce che “il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure”, inoltre, è previsto che “Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità” (considerando n. 82 e art. 30). In questo contesto viene quindi previsto un obbligo di tenere un registro delle attività del trattamento dei dati personali, adempimento solo per alcuni limitati profili simile al Documento Programmatico per la Sicurezza previsto fino al 2012 nel Codice della Privacy. Il titolare del trattamento ed i responsabili del trattamento saranno tenuti ad adottare delle misure di sicurezza organizzative e tecniche volte a mitigare il rischio secondo un approccio proattivo, identificazione dei rischi connessi al trattamento (c.d. risk-based approach) e adozione di misure adeguate tenendo in conto dei principi di trasparenza oltre ai principi di privacy by design (privacy sin dalla progettazione) e by default. Infine, sono riconosciuti importanti diritti l’oramai noto diritto all’oblio e il diritto alla portabilità dei dati da un fornitore ad un altro.
Che accade in caso di violazione?
Il regolamento prevede sanzioni davvero cospicue, che in casi particolari comportano l’applicazione fino a venti milioni di euro o del 4% del fatturato mondiale annuo. Alla luce di questo, i cittadini potranno beneficiare di una maggiore tutela e trasparenza soprattutto nell’ottica di mercato unico digitale, da parte dei titolari del trattamento e delle istituzioni ci dovrà essere un lavoro intenso per essere preparati all’applicazione dei questo nuovo regolamento, dalle Autorità europee coinvolte alle Autorità Garanti nazionali, alle pubbliche amministrazioni e ai grandi operatori di mercato.