Dati personali, l'Europa cambia verso. L’Italia entra nel Mercato unico digitale.

Dal 25 maggio Entrerà in vigore negli Stati membri dell’Unione Europea, e, tra questi, l’Italia, il Regolamento Ue 679 del 2016, noto con la sigla GDPR (General data protection regulation) in materia di protezione, e trattamento e libera circolazione dei dati personali.

Nato per assicurare certezza giuridica, armonizzazione e maggiore semplicità delle norme sul trasferimento di dati delle persone fisiche degli Stati Ue verso altri Paesi del mondo, il regolamento è stato concepito per rispondere alle sfide poste dallo sviluppo delle tecnologie e agli innovativi modelli di crescita economica tenendo conto delle esigenze di tutelare con maggiore efficacia e sicurezza i dati personali.Un’esigenza sempre più avvertita dai cittadini Ue. E di stretta attualità: si pensi al recente scandalo di Cambridge Analytica (portato alla luce dall’inchiesta congiunta di Guardian, Observer e New York Times): la società di analisi dati legata a Steve Bannon (l’ex consigliere del Presidente degli Stati Uniti, Trump), che ha violato i dati sensibili di oltre 87 milioni di profili di Facebook per creare un potente software volto a prevedere e influenzare le scelte elettorali attraverso annunci politici personalizzati.

Con il GDPR la normativa si adegua ai tempi e si introducono regole più chiare su informativa e consenso; vengono definiti i limiti al trattamento automatizzato dei dati personali; vengono poste le basi per l’esercizio di nuovi diritti; si stabiliscono i criteri rigorosi per il loro trasferimento fuori dall’Ue e sono fissate, infine, norme rigorose per i casi di violazione dei dati (data breach).

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato comunitario. Tutte le aziende, ovunque abbiano sede, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e, in caso di inosservanza delle disposizioni normative, rischiano pesanti sanzioni. E proprio per accompagnare le imprese in questo cammino verso l’adeguamento alla nuova disciplina normativa che a giorni, come detto, entrerà in vigore, è stata costituita Rete Data Protection. È un raggruppamento di imprese della Puglia, che mette insieme l’esperienza dello studio legale Polis Avvocati s.t.a. coop., il know-how specializzato in consulenza aziendale del Consorzio Artemide e di Promem Sud Est, nonché l’innovazione tecnologica dello spin off universitario ideato dal professore Giuseppe Visaggio. Rete Data Protection offre alle aziende un servizio qualificato di adeguamento alle complesse prescrizioni del Regolamento europeo.

Le imprese che operano in più Stati UE potranno rivolgersi al Garante della privacy del Paese dove hanno la sede principale. In realtà, almeno in Italia, oltre la metà delle aziende, ma anche le Pubbliche amministrazioni, non è ancora pronta ad allinearsi ai provvedimenti UE in materia di protezione dei dati nonostante le severe sanzioni previste. Il Garante ha dato precise indicazioni alle Pubbliche amministrazioni. Le priorità operative sono tre: la designazione in tempi stretti del Responsabile della protezione dei dati; l’istituzione del Registro delle attività di trattamento e la notifica dei data breach.

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamento ad un altro. La norma fa eccezione nei casi in cui si tratta di dati contenuti in archivi di interesse pubblico, come, ad esempio, le anagrafi. In questo caso il diritto non potrà essere esercitato, cosi com’è vietato il trasferimento di dati personali verso Paesi extra UE o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.

Vi sono altri importanti elementi di novità. È, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Questo nuovo diritto faciliterà il passaggio da un provider di servizi all’altro, agevolando la creazione di nuovi servizi, in linea con la strategia del Mercato Unico Digitale.
Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante. Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue.
Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle beghe burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati, nonché gli ingenti danni economici legati a una perdita di informazione. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni; potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio. In questo ultimo caso dovrà provvedere con una comunicazione pubblica. L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa. Ci sono diverse fattispecie e si va da una mera diffida amministrativa a sanzioni pecuniarie fino a 20 milioni di euro. Non a caso è stata prevista la figura del Responsabile della protezione dei dati (DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. In realtà persistono ancora troppi dubbi su cosa sia il DPO. È una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre i1 titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali, nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante, però, che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere dal titolare.

GIAMBATTISTA PEPI

Cookie	Durata	Descrizione
language		This cookie is used to store the language preference of the user.
pll_language	1 year	This cookie is set by Polylang plugin for WordPress powered websites. The cookie stores the language code of the last browsed page.

Cookie	Durata	Descrizione
wt_nbg_Q3	session	This cookie is set by the provider Webtrekk. This cookie is used for load balancing. It sends all the request by a user to the same server.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
IMRID	1 year 24 days	The domain of this cookie is owned by Nielsen. The cookie is used for storing the start and end of the user session for nielsen statistics. It helps in consumer profiling for online advertising.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durata	Descrizione
CONSENT	16 years 8 months 19 days 15 hours 4 minutes	No description
cookielawinfo-checkbox-functional	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-others	1 year	No description
UID	2 years	No description
UIDR	2 years	This cookie is set by scorecardresearch.com. The cookie is used to tracks the users activity across the internet on the browser such as visit timestamp, IP address, and most recently visited webpages and may the data send to 3rd party for analysis and reporting to help their clients better understand user preferences.

Dati personali, l’Europa cambia verso. L’Italia entra nel Mercato unico digitale.