Verso una nuova privacy europea: la proposta di regolamento comunitario sulla data protection.

Introduzione
Novità in vista per la normativa sulla privacy. Il 25 gennaio 2012 la Commissione europea ha presentato la proposta di revisione della normativa comunitaria sulla protezione dei dati personali risalente al 1995: si punta a rafforzare i diritti degli utenti in materia di privacy online e a uniformare le 27 diverse legislazioni dei Paesi membri dell’Unione.

La riforma è affidata a un Regolamento, immediatamente applicabile in tutti gli Stati membri, che istituisce un quadro normativo generale per la protezione dei dati personali. In virtù delle nuove regole, ogni cittadino dovrà essere informato in modo semplice e chiaro circa le procedure con cui i propri dati saranno gestiti da qualsiasi azienda con sede legale in Europa, a prescindere da dove si trovino i server.

Le principali novità:

1. Novità per l’informativa
   Ci sarà maggior trasparenza nelle nuove informative. Questo imporrà ai titolari di indicare l’origine dei dati di cui di dispone, il tipo di dati di cui si è in possesso, gli scopi per cui verranno usati, la possibilità che vengano ceduti a terzi e per quanto tempo verranno conservati nei database.
2. Le nuove forme di consenso
   Ogni utente dovrà, altresì, fornire un consenso esplicito all’impiego dei propri dati personali da parte delle aziende: il consenso non potrà, pertanto, essere presunto e l’azienda avrà l’onere di dimostrare di averlo raccolto correttamente e garantendo la piena consapevolezza dell’interessato. Stop quindi alla raccolta dei dati effettuata all’insaputa dell’interessato. Questo avrà un impatto rilevante sulla raccolta dei dati di navigazione e in generale alle forme di acquisizione di informazioni utilizzate per la cosiddetta pubblicità comportamentale.
3. Il diritto all’oblio
   Ogni cittadino avrà pieno accesso alle informazioni sul suo conto e potrà decidere in ogni momento di cancellarle o trasferirle altrove. Viene così formalizzato quel “diritto all’oblio” di cui in ambito privacy si parla da tempo. Non si potrà, però, richiedere la rimozione delle proprie informazioni personali dai database delle testate giornalistiche.
4. Stop all’obbligo di notificazione al Garante
   La riforma elaborata dalla Commissione, prevede, inoltre, la modifica dell’obbligo di notificare tutti i trattamenti alle Autorità per la protezione dei dati personali. Tale passaggio verrà sostituito con l’introduzione di un onere di rendicontazione per chi effettua il trattamento.
5. Obbligo di autodenuncia in caso di violazioni che mettono a rischio l’integrità dei database
   Le imprese e le organizzazioni dovranno “autodenunciare” quanto prima (normalmente entro 24 ore) alle Authority nazionali di controllo i casi di grave violazione della normativa privacy in cui dovessero incorrere che mettono a rischio l’integrità dei data base.
6. Nasce il Data Protection Officer
   Le aziende che impiegano più di 250 dipendenti o collaboratori e quelle che trattano dati in modo sistematico per metterli a disposizione di terzi dovranno istituire una figura specifica (denominata Data Protection Officer) che è tenuto a verificare la correttezza dei trattamenti effettuati. Il compito potrà essere affidato a dipendenti o a consulenti esterni. Si va verso la nascita di una nuova categoria professionale che dovrà disporre di competenze sia giuridiche che informatiche.
7. Maggior Coordinamento tra i Garanti europei
   Nel testo in esame si statuisce la creazione di un meccanismo per il quale le imprese si dovranno relazionare solo con l’Autorità nazionale di protezione dei dati nel Paese dell’Unione Europea nel quale hanno la propria sede principale. Analogamente, sarà possibile rivolgersi all’Autorità del proprio Paese anche se i dati sono tratti da un’impresa avente sede fuori dall’Europa.
8. Il diritto alla portabilità dei dati 
   Per il cittadino europeo sarà più facile accedere ai propri dati personali e sarà agevolato anche il loro trasferimento da un fornitore di servizi a un altro (c.d. diritto alla portabilità dei dati), il che comporterà un miglioramento della concorrenza tra i servizi. Le norme UE si applicheranno anche ai dati personali trattati all’estero da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell’Unione.
9. Le sanzioni diventano più pesanti
   Le autorità nazionali indipendenti di protezione dei dati avranno maggiori poteri in modo da applicare meglio le norme UE nei rispettivi Paesi. Potranno, ad esempio, comminare, alle imprese che violano il diritto dell’Unione, sanzioni pecuniarie di importo elevatissimo. Le autorità nazionali indipendenti di protezione dei dati avranno maggiori poteri sanzionatori, potendo arrivare a comminare, alle imprese che violano il diritto dell’Unione, sanzioni pecuniarie fino a 1 milione di euro o pari persino al 2% del fatturato mondiale annuo.

Le proposte della Commissione passano ora al Parlamento Europeo e al Consiglio dei Ministri per la discussione e, una volta adottate, non entreranno in vigore prima di due anni.

Questo articolo è stato scritto da

Avv. Marco Maglio

Avvocato, fondatore di Lucerna Iuris, Network Giuridico Internazionale formato da studi legali specializzati in diritto del marketing e della comunicazione. Presiedo il Giurì per l'Autodisciplina del direct marketing e del commercio elettronico e l’Osservatorio Italiano Privacy. Partecipo alle attività dei principali Gruppi di lavoro formati da Esperti Internazionali in materia di Data Protection e Marketing Law e sono Componente del Legal Affairs & Ethics Committee di FEDMA (Federazione Europea del Direct Marketing) in rappresentanza dell'Italia. Sono Membro dell'International Privacy Professionals Association e sono Senior Certified Privacy Auditor.