Nuova Privacy: Cosa, Chi e Perchè: Conoscere il Regolamento UE 2016/679

Approfondimento

Presentazione.

Uno degli obbiettivi del presente documento è fornire un modesto contributo per far sì che il lettore sia grado di rispondere, con una discreta padronanza ed in relazione agli obblighi previsti dalla nuova privacy, ad almeno le prime tre delle seguenti domande: cosa, chi, perché, come e quando .

COSA: Trattamento dei Dati Personali di Persone Fisiche (Regolamento)

CHI: I soggetti coinvolti dal Regolamento

PERCHE’: Principi, Liceità, Diritti e Obblighi

Il documento costituisce il primo volume contenente le basi teoriche necessarie per comprendere meglio gli altri volumi della collana Nuova Privacy del Centro Studi Helios, dove invece saranno trattati gli aspetti pratici (il come ed il quando) che dipenderanno, dal punto di vista dell’pplicabilità effettiva, dai singoli contesti di riferimento. Se il cosa, chi e il perché sono, per certi aspetti, concetti trasversali a molti settori, il come ed il quando ovviamente non potranno essere uguali per una struttura ricettiva, uno studio professionale, un ospedale, un piccolo negozio o una impresa di media dimensione. Per questi specifici settori abbiamo predisposto volumi di approfondimento settoriale. Si rimanda per i dettagli all’allegato A: Corsi online e Libri di Approfondimendo.

Limitatamente ai soli corsi online è possibile conoscere l’elenco dei corsi rivolti a Professionisti e Aziende al seguente indirizzo web: https://www.centrostudihelios.it/la-nuova-privacy/corsi-sulla-privacy-professionisti-aziende/

Al libro, inoltre, è associata una area web (una sorta di CD virtuale) il cui link è indicato nella parte finale del libro dove sarà possibile, avere ulteriori documenti di approfondimento e di aggiornamento, anche di tipo multimediale sugli argomenti trattati.

Gli aspetti su cui si basano i contenuti esposti nei prossimi capitoli prendono spunto principalmente da quanto descritto nel Regolamento con particolare attenzione ai Considerando, nelle Raccomandazioni, Linee Guida e Faq del Garante e nelle Linee Guida del Gruppo WP29. Tutti questi documenti sono scaricabili nel CD virtuale associato al libro

Nota: in tutto il documento, per semplificazione useremo i seguenti termini:

Regolamento: Regolamento UE 2016/679

Articolo: per riferirci ad uno dei 99 articoli del Regolamento UE 2016/679

Considerando: per riferirci ad uno dei 173 considerando Regolamento UE 2016/679 (In sostanza sono i motivi che precedono la parte dispositiva del regolamento stesso)

Codice: Il Codice sulla Privacy (D.Lgs 196/2003) vigente prima dell’entrata in vigore del Regolamento UE 2016/679

Nuovo Codice: Il Nuovo Codice sulla Privacy così come modificato dal Decreto di Armonizzazione della normativa italiana al Regolamento UE 2016/679

Dati sensibili: questa espressione utilizzata ai sensi del Codice, ovunque rincorra, si intende riferita alle categorie particolari di dati di cui all’articolo 9 del regolamento.

Dati giuridici: questa espressione utilizzata ai sensi del Codice, ovunque rincorra, si intende riferita alle dati personali relativi a condanne penali e reati di cui all’articolo 10 del regolamento.

Gruppo WP29: il Gruppo di lavoro articolo 29 (Working Party article 29 o WP29, appunto perché previsto dall'art. 29 della direttiva europea 95/46), con il nuovo regolamento, a partire dal 25 maggio 2018, il gruppo ha cessato la sua attività ed è stato sostituito dal Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB). Il nuovo Comitatoè il gruppo di lavoro comune delle autorità nazionali di vigilanza e protezione dei dati.

1 Un po’ di storia

Evoluzione normativa

Un primo accenno di tutela della privacy è nella stessa costituzione con l'articolo 15.

Art. 15: La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell'autorità giudiziaria con le garanzie stabilite dalla legge.

La legge 675/96 Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali è la prima legge organica sulla privacy. La 675/96 entra in vigore nel maggio del 1997 e fu introdotta per adempiere ad un obbligo imposto all'Italia dall'accordo di Schengen al cui interno ha trovato spazio, nell'ambito della garanzia delle libertà fondamentali e della dignità delle persone, la tutela della riservatezza e dell'identità personale.

Il D.lgs. 196/2003 Codice in materia di protezione dei dati personali. abroga la precedente legge 675/96. Con il tempo a tale norma si erano affiancate ulteriori diverse disposizioni, riguardanti singoli specifici aspetti del trattamento dei dati, che sono state riassunte nel Testo Unico vigente, entrato in vigore il 1º gennaio 2004.

Nel 2011 e 2012 alcuni decreti, poi convertiti in legge, hanno emendato il testo unico 196, in particolare abolendo alcuni passaggi burocratici (tipo il DPS) oppure le regole per le informazioni sensibili fornite spontaneamente mediante il proprio CV.

Nel 2013 Il decreto legislativo 14 marzo 2013, n. 33 Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni ha apportato leggere modifiche abrogando il comma 3-bis dell’art. 19. Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari.

Sull'applicazione della normativa vigila l'Autorità Garante per la protezione dei dati personali, istituita dalla L. 675/1996 e confermata dal D.lgs. 196/2003. Nel gennaio 2012 la Commissione europea ha presentato ufficialmente il cosiddetto pacchetto protezione dati con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia nell'Ue.

Esso si compone di due diversi strumenti:

Una Regolamento (UE) 2016/679 concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, che sostituisce la Direttiva 95/46.

Una Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio

L'iter per l'approvazione definitiva dei due nuovi strumenti normativi comporta l'intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di codecisione (ora definita dal Trattato di Lisbona procedura legislativa).

Il 18 dicembre 2015 è stato raggiunto un accordo sul testo del Regolamento e della Direttiva. Vedi il comunicato del Consiglio europeo del 18 dicembre 2015.

Il 14 aprile 2016 la plenaria del Parlamento Europeo ha adottato in seconda lettura i testi di Regolamento e Direttiva come approvati dal Consiglio.

Il 4 maggio 2016 , sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva, recepita dagli Stati membri entro 2 anni. Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento, che diventato definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018 .

Non sono necessarie leggi nazionali di recepimento come avviene per le direttive

Fonte: Web

2 Le principali novità del Regolamento (UE) 2016/679

1. I Soggetti interessati dal Regolamento (UE) 2016/679

La normativa precedente era applicabile ai soggetti del luogo in cui aveva sede il Titolare del trattamento dei dati. Con il nuovo regolamento viene introdotto il principio dell'applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell'UE, se relativi all'offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE. Conseguenza di tale principio è ad esempio che le piattaforme Web, comprese i Social Network e quelli di E-Commerce sono soggette alla normativa europea anche se sono gestiti da società con sede fuori dall’UE. Le imprese straniere devono obbligatoriamente adeguarsi al regolamento Europeo

Vediamo velocemente le altre novità su cui ritorneremo con maggior dettaglio successivamente

I Soggetti interessati dal Regolamento (UE) 2016/679: Non solo Europa

Privacy by design: Prevenire è meglio che correggere

Privacy by default: Impostazione predefinita della tutela

Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO).

Data Breach.

Portabilità dei dati.

Semplificazioni nelle comunicazioni al Garante. Abolizione della notificazione

Valutazione d’Impatto sulla protezione dei dati (DPIA).

Diritto alla Cancellazione (diritto all’oblio).

Accountability. carta canta

Informativa e consenso (modifiche rispetto alla normativa abrogata)

Registro delle attività del trattamento

Trattamento e consenso per i minori di anni 16 (i Paesi possono decidere di farla scendere a 13)

Sanzioni parametrate sul fatturato

Altre novità:

Vengono introdotte le definizioni di Dato Generico e Dato Biometrico

Introduzione della Contitolarità nel trattamento dei dati

Introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi

Istituzione del Comitato Europeo per la protezione dei Dati

In definitiva, il nuovo Regolamento pone al centro del trattamento la tutela dei dati dell’interessato, tenendo conto sia dell’evoluzione delle tecnologie a disposizione per la protezione dei dati raccolti, sia della globalizzazione che ha ampliato enormemente la platea degli attori coinvolti nei processi di raccolta e diffusione dei dati.

3 Struttura del Regolamento, termini e definizioni

Struttura del regolamento

Il Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE è strutturato in 1 73 considerando (i motivi che precedono la parte dispositiva del regolamento stesso) e 99 articoli distribuiti in XI capitoli.

CAPO I - Disposizioni generali

CAPO II - Principi

CAPO III - Diritti dell'interessato

CAPO IV - Titolare del trattamento e responsabile del trattamento

CAPO V - Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali

CAPO VI - Autorità di controllo indipendenti

CAPO VII - Cooperazione e coerenza

CAPO VIII - Mezzi di ricorso, responsabilità e sanzioni

CAPO IX - Disposizioni relative a specifiche situazioni di trattamento

CAPO X - Atti delegati e atti di esecuzione

CAPO XI - Disposizioni finali

Ambito di applicazione

L’articolo 2, paragrafo 1 definisce il campo di azione del regolamento:

Art. 2 paragrafo 1:

" Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi ."