,

Nuovo Regolamento Europeo in materia di privacy. Cosa cambierà?

A fronte di rapidissimi progressi tecnologici, il Parlamento Europeo ha ritenuto necessario provvedere ad una riformulazione complessiva, anche e soprattutto nei principi fondanti, della Direttiva 95/46/Ce in materia di privacy.

Normativa di riferimento

  • Direttiva 95/46/CE;
  • Lgs. n. 196/2003;
  • Regolamento UE 2016/679.

Contenuto

A maggio 2016 rilevanti sono state le novità apportate alla normativa in tema di “privacy” sia dalla Direttiva (UE) 2016/680, che dovrà essere recepita dal legislatore italiano entro due anni, sia dal nuovo Regolamento UE 2016/679.

Un primo aspetto rilevante, anche se già presente nel nostro ordinamento, è rappresentato dal fatto che oggetto di tutela sono esclusivamente i dati personali riferibili alle sole persone fisiche, non più anche a quelli riferibili a persone giuridiche e/o enti privi di personalità.

Secondo aspetto rilevante è il passaggio da un sistema basato su direttive di armonizzazione e singole legislazioni nazionali con un più ampio margine discrezionale, ad un regolamento di immediata applicazione in tutti gli Stati Membri. Ciò determina un indubbio vantaggio soprattutto per quelle imprese che operano o intenderanno operare in un mercato comunitario, per esempio attraverso il canale web e il commercio elettronico, potendo le stesse avere una disciplina in tema di privacy uniforme in tutti i paesi UE.

Per i cittadini europei è prevista la facoltà di rivolgersi ad una sola Autorità Garante, quella in cui è localizzata la sede principale dell’impresa interessata dalla violazione.

Il Garante Privacy italiano dovrà emanare un provvedimento in cui siano specificate le tipologie di trattamento che dovranno essere soggetta al c.d. DPIA – Data Protection Impact Assessment – ovvero una valutazione preventiva degli impatti che l’attività svolta può determinare sulla protezione dei dati che vengano trattati. Tale documento per modalità di redazione, contenuti e filosofia di ispirazione è molto simile, per il sempre crescente numero di impreso che lo abbiano adottato, al c.d. Modello di Organizzazione, Gestione e Controllo, redatto e adottato ai sensi del D.Lgs. n. 231/2001, in tema di responsabilità amministrativa della società.

Vengono notevolmente inasprite le sanzioni in caso di violazione della normativa, sanzioni che dovranno essere parametrate, come avviene anche per la sanzioni previste dal citato D. Lgs. n. 231/2001, al tipo di violazione, al tipo di danno cagionato, alla colposità/dolosità della violazione, se sono o non sono state adottate misure di prevenzione e, in caso affermativo, la tipologia di misure adottate, la tempestività della comunicazione della violazione da parte del Titolare all’Autorità Garante.

Viene introdotta una nuova figura, il c.d. DPO, Data Protection Officer, in parte riconducibile alla figura del Responsabile dal Trattamento. La nomina del DPO sarà obbligatoria per enti pubblici, imprese di grandi dimensioni e imprese che trattano determinate tipologie di dati, in particolari dati sensibili. Il DPO rimarrà in carica per almeno 4 anni, dovrà possedere determinate competenze tecniche, dovrà essere autonomo e indipendente (come nel caso dell’Organismo di Vigilanza ex D. Lgs. n. 231/2001) e il nominativo dovrà essere comunicato sia al “pubblico” sia all’Autorità Garante.

È previsto un sistema di certificazione, analogo a quelli già esistenti, quali a mero titolo esemplificativo, OHSAS 18001, ISO 14001 ed ISO 9001.

Conclusioni

Alla luce di quanto sopra, risulta evidente la necessità per le imprese di iniziare, fin d’ora, a valutare, analogamente a quanto già avviene in adempimento del D.Lgs. n. 231/2001, la tipologia dei dati trattati con riferimento a persone fisiche, l’eventuale possibilità, in base alla compagine aziendale, di necessità di trasferimento all’estero dei dati stessi, soprattutto ove tale trasferimento avvenga al di fuori dell’Unione Europea, i rischi collegati al trattamento dei dati, in base appunto alla tipologia degli stessi, a valutare le misure idonee per limitare i rischi individuati coordinando le eventuali misure già adottate in forza di certificazioni rilasciate alla società e in forza dell’eventuale Modello di Organizzazione, Gestione e Controllo già adottato o ancora da adottarsi.

STUDIO LEGALE GHIBELLINI

Via Ceccardi 1/15 16121 Genova |  P.IVA : 01433990999 | Phone: +010 566500 | Email: info@ghibellini.it

Privacy Policy | Cookie Policy


© 2019  Studio Legale Ghibellini

Cassazione Civile, SS.UU., sentenze 08/09/2016 n. 17757 e n. 17758: la posizione...Indennità per la perdita dell’avviamento e rilascio dell’immobile loca...