07 Sep
2017

Ulteriori inasprimenti della normativa sulla protezione dei dati previsti dal Regolamento privacy

Questa seconda parte della nostra serie di articoli è dedicata alla spiegazione dei singoli cambiamenti intervenuti nella normativa sulla protezione dei dati personali apportati del Regolamento privacy.

scoprire di più

Questa seconda parte della nostra serie di articoli è dedicata alla spiegazione dei singoli cambiamenti intervenuti nella normativa sulla protezione dei dati personali apportati del Regolamento privacy. Cercheremo di fornire una visone d’insieme dei cambiamenti più rilevanti.

La prassi prevista per le sanzioni non è l’unico inasprimento della normativa sui dati personali previsto dal Regolamento privacy. Il Regolamento apporta ulteriori modifiche che influenzano anch’esse l’applicazione delle sanzioni. In particolare:

-              Obblighi informativi completi e proattivi

In futuro, ogni qual volta vi sarà l’utilizzazione di dati personali, l’interessato dovrà essere informato molto più proattivamente in merito all’utilizzo dei suoi dati. In alcuni casi, dovrà essere indicato il fondamento giuridico che giustifica la raccolta dei dati di una persona. Questo è possibile solo se il responsabile dei dati personali svolge indagini e verifiche in merito al trattamento dei dati.

-              Ampliamento della copertura degli errori sui dati

Nei casi di cosidetto“data breach”, ossia, ogni qual volta si verifichi la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, bisogna notificare lo stesso “data breach” all’autorità di sorveglianza competente e al soggetto protetto. Questa comunicazione da fornire dovrà essere molto più ampia rispetto a quanto avveniva precedentemente e dovrà essere fatta in pochi giorni. L’omissione della notificazione degli errori commessi è di nuovo di per sé sanzionabile.

-              Obbligo di coordinamento con l’autorità di sorveglianza.

Quando vengono trattati dati personali rischiosi è necessario valutare le possibili conseguenze del trattamento e, allo stesso tempo, bisogna consultare l’autorità di vigilanza in merito al trattamento dei dati.

-              Ampliamento della responsabilità

il risarcimento del danno dovuto dal prestatore di servizi, in relazione alla sua responsabilità, verrà incrementato. Figurativamente parlando, per quanto riguarda la sua responsabilità, il prestatore di servizi sarà “sulla stessa barca” di colui che ha conferito l’incarico. In questo caso sarà necessario regolare contrattualmente la limitazione della responsabilità.

-              I nuovi diritti dei soggetti protetti

Le informazioni dovranno essere in futuro rilasciate ai soggetti interessati senza ritardi, in ogni caso entro un mese. In più è previsto anche il diritto alla portabilità, così come il diritto all’oblio dei dati. Sono previste sanzioni se i dati dei soggetti protetti verranno trattati in maniera scorretta. I diritti degli interessanti vengono infatti ampliamente rafforzati, gran parte del Regolamento è dedicato ai singoli diritti degli interessati e alla loro modalità di esercizio. A tal proposito sono stati introdotti numerosi cambiamenti in tema di diritto di limitazione del trattamento, in tema di diritto alla portabilità dei dati e in tema di diritto di opposizione alla profilazione. Il Regolamento privacy prevede inoltre in alcuni casi delle restrizioni all’esercizio dei diritti sopraindicati (ad. es. nei casi di sicurezza nazionale, in quelli in cui diventa rilevante la prevenzione e repressione dei reati, ecc.).

-              Obblighi di organizzazione

Il nuovo Regolamento europeo in materia di protezione dei dati personali obbliga in molti casi, come ad esempio per quanto riguarda la realizzazione dei diritti degli interessati, a costruire strutture organizzative. La sola mancanza di queste strutture è di per sé sanzionabile.

-              Responsabilità

Il nuovo regolamento europeo in materia di protezione dei dati personali definisce esplicitamente un completo e sfaccettato catalogo di principi generali, la cui osservanza - diversamente da prima - è demandata alla sola impresa. Questo significa che, non solo il rispetto della legislazione sulla protezione dei dati personali viene verificato nei singoli casi, ma anche che la compliance sulla protezione dei dati personali viene trasferita nel “campo organizzativo”.

-              Il trasferimento dei dati all’estero

Anche la disciplina sul trasferimento dei dati personali all’estero viene riformulata in maniera innovativa dalla nuova legislazione in materia di privacy.

Il regolamento subordina la legittimità dei trasferimenti di dati verso Paesi extra Ue ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di questo tipo, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad es., clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o nel caso ricorrano particolari evenienze.

Il Safe Harbor e lo scudo americano-europeo sulla privacy sono temi che hanno particolarmente colpito l’opinione pubblica e che hanno messo al centro della discussione dei soggetti coinvolti, dell’autorità e dell’opinione pubblica il tema del trasferimento dei dati personali all’estero. Vengono poste domande nuove soprattutto in relazione all’impiego di soluzioni IT da parte dei prestatori di servizi – non solo per il Cloud-Computing - e in relazione al trasferimento dei dati tra aziende collegate fra loro.

-             Scoperta di infrazioni

Le infrazioni interne all’azienda devono essere valutate alla luce della legislazione in materia di protezione dei dati personali. Anche le strutture di compliance aziendali e le azioni da mettere in atto nel caso di infrazioni interne all’azienda– come attualmente è stato reso noto dalla stampa- devono adattarsi alla nuova normativa sul trattamento dei dati personali. Se questi obblighi sono prescritti dalla legge, oppure, se sono autoimposti dall’azienda stessa (per es. Whistleblowing), essi devono essere obbligatoriamente rivalutati prendendo come riferimento il nuovo Regolamento. La compliance relativa alla normativa sulla protezione dei dati deve essere assicurata anche dopo l’entrata in vigore del regolamento privacy.

-              La compliance del trattamento dei dati personali come obbiettivo da perseguire per i mandatari e per i fornitori

Sempre di più, l’azienda stipula contratti, soprattutto nel caso dei contratti di collaborazione, con i quali il mandante viene obbligato contrattualmente al rispetto della protezione dei dati personali. La mancanza di trasposizione nei contratti delle disposizioni del regolamento europeo in materia di protezione dei dati personali porta, in aggiunta alle sanzioni previste dal Regolamento, alla violazione degli obblighi contrattuali.

Multe, Richiami, azione collettiva

Oltre al problema delle sanzioni vi è anche il pericolo di ricevere richiami per attività di concorrenza sleale. È stata infatti introdotta alla fine del 2015 la possibilità di avvalersi dell’azione collettiva nei casi di violazione della normativa sul trattamento dei dati personali. Il regolamento privacy contemplerà ulteriori tipi di azioni legali.

Avvocato Manuela Ferrari

Rechtsanwalt Dr. Jens Eckhardt

27 Jul
2017

IL NUOVO REGOLAMENTO PRIVACY DELL’UNIONE EUROPEA - UN PRIMO APPROCCIO

Il 25.05.2016 è entrato in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali (regolamento privacy).

scoprire di più

Il 25.05.2016 è entrato in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali (regolamento privacy). Il Regolamento privacy riforma completamente la disciplina del trattamento dei dati personali.

Il Regolamento è parte del Pacchetto protezione dati, l'insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE e comprende anche la Direttiva (UE) 2016/680 in materia di trattamento dei dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

Il periodo che precede il 25.05.2018, giorno prefissato per l’inizio dell’applicazione del Regolamento privacy, dovrà essere utilizzato per adattare il sistema di elaborazione dei dati personali alla nuova normativa.

Vediamo in questo primo articolo che introduce i successivi interventi che pubblicheremo sul nuovo Regolamento Privacy a chi si applica il Regolamento, quali sono le conseguenze della mancata applicazione e perché occorre rispettare le nuove regole.

1. A quali situazioni si applicano le nuove regole?

Nell’immediato e in futuro, al fine di applicare correttamente il Regolamento europeo privacy, è determinante sapere se vengono trattati i dati di una persona fisica. Il regolamento privacy si applica infatti a tutti dati riconducibili alla persona fisica. Non vengono protetti i dati relativi alle persone giuridiche (per es.: S.r.l., S.p.A., cooperative).

Diversamente da quanto previsto dalla normativa per la tutela dei consumatori e da quella per la salvaguardia della concorrenza e dei mercati non è essenziale determinare se i dati trattati siano quelli di un piccolo imprenditore, di un consumatore, o di un privato; il Regolamento tutela senza fare alcuna distinzione tutte le persone fisiche. Il Regolamento si applica chiaramente ai privati, sia in quanto clienti, che in quanto dipendenti di un’azienda, si applica inoltre ai clienti di un’impresa, ai fornitori e a tutte le persone coinvolte nelle relazioni commerciali. Occorre tenere presente che anche nei rapporti commerciali tra due persone giuridiche (per es. quando si stipula un contratto) possono emergere di fatto i dati relativi alle persone fisiche (si pensi per es. ai dati del referente, del rappresentate legale, ecc.).

Il Regolamento privacy si è soprattutto focalizzato su temi che riguardano il web, come Cookies e indirizzi IP. Il Regolamento non si applica invece ai dati provenienti esclusivamente dai macchinari, i quali nell’ambito dell’ l’industria 4.0, hanno notevole importanza. Talvolta, si tralascia però la necessità di dover applicare la normativa in materia di protezione dei dati personali a quei dati che emergono quando indirettamente si viene a conoscenza dei dati personali di una persona fisica (ad es. i dati relativi alla persona che consegna il macchinario in azienda). In questo caso infatti il “Big Data” non riesce a capire di dover effettuare una verifica sui dati personali.

Il regolamento privacy mostra i suoi limiti proprio nelle tematiche relative al web e ai nuovi procedimenti che interessano i dati già elaborati una prima volta. Per questo è di importanza fondamentale verificare l’ambito di applicazione della nuova normativa e identificare e valutare le forme alternative di strutturazione dei dati.

In conclusione, è difficile trovare un ambito dell’impresa che non viene incluso nella disciplina della protezione dei dati personali

2. Le conseguenze della normativa sulla protezione dei dati personali

I dati relativi alle persone fisiche possono essere trattati solamente quando vi è il consenso della persona coinvolta oppure quando una disposizione di legge ne permette l’elaborazione (Divieto con riserva di autorizzazione).

Ciò significa che ogni tipo di trattamento dei dati personali di una persona fisica è proibita quando colui che elabora i dati non può provare e giustificare la liceità del trattamento. Questa regola, da tempo prevista nel nostro ordinamento e ripresa dal regolamento privacy, non subirà alcun cambiamento. Le modifiche approntate dal regolamento verranno più avanti approfondite nel paragrafo intitolato: “Ciò che è lecito non rimarrà automaticamente lecito”!

La legislazione sulla protezione dei dati personali identifica, come principio fondamentale da rispettare, la trasparenza della procedura del trattamento dei dati nei confronti delle persone coinvolte. In breve: è necessario assicurarsi, informando proattivamente la persona coinvolta, che essa sappia in ogni momento chi, per cosa e con quale scopo tratta i suoi dati personali. Mentre la vecchia normativa considerava quanto sopra descritto in tema di obbligo di trasparenza sufficiente, il Regolamento privacy amplia notevolmente questo ambito della disciplina. Le novità sono così ampie che in futuro tra le informazioni da comunicare alla persona coinvolta ci saranno l’indicazione dei fondamenti giuridici e   degli interessi legittimi alla base del trattamento dei dati.

In relazione all’informativa proattiva a favore delle persone coinvolte saranno necessari degli adattamenti. Si rischia infatti di violare la normativa palesemente e di incorrere in sanzioni che sono difficili da contestare.

I dati personali relativi alle persone fisiche possono essere utilizzati solo allo scopo per cui sono stati legittimamente raccolti. Per utilizzare questi dati per un altro scopo deve esserne verificata l’ammissibilità, ovvero, bisogna accertare che vi sia il consenso della persona oppure, che la legge ne ammetta il trattamento.

Il principio che prevede il vincolo del trattamento dei dati allo scopo da perseguire comporta quindi che anche i dati raccolti una prima volta legittimamente non potranno essere trattati una seconda volta liberamente.

Il principio che postula di evitare o minimizzare la trasmissione dei dati richiede che vengano raccolti e utilizzati solo i dati necessari allo scopo prefissato e che tutti i procedimenti e i sistemi utilizzati siano strutturati in modo che venga rispettato lo scopo del trattamento. Tutto questo richiederà uno sforzo aggiuntivo. Fino ad oggi infatti, questo principio è stato trascurato a causa dei problemi strutturali del sistema sanzionatorio. Il Regolamento privacy prevede invece sanzioni che seguono il principio che postula di evitare o minimizzare la trasmissione dei dati, stabilendo sanzioni che possono arrivare fino a 20 milioni di euro, inoltre, l’incaricato del trattamento dei dati personali è da ritenere, in relazione all’applicazione di questo principio, legalmente responsabile per le sue azioni.

3. Perché la Sua azienda dovrà adeguarsi alle nuove regole

L’ambito di applicazione sopra descritto non è nuovo. Se si segue il motto “avanti così” si rischia però di non vedere quali sono i mutamenti apportati dal nuovo Regolamento.

Difatti la vera novità è costituita dal rischio che le infrazioni siano scoperte. Il regolamento privacy non solo inasprisce le sanzioni in modo drastico, ma prevede anche il rispetto di ulteriori requisiti nel trattamento dei dati.

Le sanzioni potranno arrivare fino a 10 / 20 milioni di euro a seconda dell’infrazione commessa

Le sanzioni saranno sicuramente più elevate e allo stesso tempo è prospettabile, che a seguito dell’applicazione del Regolamento privacy, vengano comminate una quantità maggiore di sanzioni. Il legislatore esige l’effettività delle sanzioni quando sono prescritte dalla legge. La discussione sulla nuova normativa è ancora in corso ed è ancora aperto il problema se l’autorità di sorveglianza possa, come ha fatto in precedenza, desistere dal comminare una sanzione, quando essa è prevista dalla legge (parola chiave: obbligo di sanzionare). Anche le stesse autorità di sorveglianza per la protezione dei dati personali non escludono che in futuro saranno inflitte sanzioni d’importo maggiore e numericamente più elevate.

Gli obblighi, la cui inosservanza porta a comminare una sanzione, vengono ampliati dal regolamento privacy. Quindi come si diceva prima, se si segue il motto “avanti così” e non si rispettano gli obblighi introdotti dal regolamento si rischia di cadere nelle trappole della nuova normativa.

Rechtsanwalt Dr. Jens Eckhardt

Avvocato Manuela Ferrari

 

Eventi

Eventi

Per offrirti una migliore esperienza di navigazione online questo sito web usa dei cookie, propri e di terze parti. Continuando a navigare sul sito acconsenti all’utilizzo dei cookie.