Riportiamo un articolo dell’Avv. Giacomo Maria Maccaferro come integrazione al nostro precedente articolo sul GDPR ed un estratto del Comunicato del consiglio dei Ministri n. 75
REGOLAMENTO UE 679/2016
Il Regolamento Europeo 2016/679 (redatto a Bruxelles il 27 aprile 2016) attualmente in vigore e obbligatorio per tutti gli Stati membri ma applicabile a decorrere dal 25 maggio 2018, impatta fortemente sul precedente quadro normativo in materia di privacy.
Che nel mercato dei servizi e dei prodotti, il dato sia oggi divenuto materia di scambio lo dimostrano le enormi quantità di dati che sono reperibili sul web.
Mai come oggi siamo disponibili a proiettare la nostra vita reale nella dimensione digitale.
Le aziende che forniscono servizi al pubblico hanno da tempo intuito che possedere informazioni costantemente aggiornate sui potenziali interessati (siano consumatori, sportivi, viaggiatori, pazienti o lavoratori) rappresenta un effettivo valore economico.
In Nord America così come in Europa, le compagnie di assicurazioni accordano sconti in cambio di informazioni sullo stato di salute dei propri clienti. Basti pensare all’importanza per una compagnia assicurativa di conoscere quante volte alla settimana, un proprio cliente farà attività fisica nell’ottica della stipula di una polizza sulla vita o sanitaria. Con conseguente rischio di discriminazione ai danni di una determinata platea di potenziali fruitori del servizio le cui abitudini, scelte o preferenze potrebbero non rientrare nel target perseguito dall’azienda.
D’altronde anche in Italia abbiamo capito che consentire alla nostra compagnia assicurativa di monitorare le nostre coordinate geografiche tramite un gps installato sull’auto può portarci un risparmio sul premio.
Lo scenario della circolazione dei dati è cambiato e conseguentemente devono cambiare anche le misure di protezione dei dati personali.
Il Regolamento vuole riuscire dove la c.d. Direttiva madre 95/46 CE sembra aver fallito: creare un quadro normativo più solido e coerente in ambito europeo, allo scopo di garantire la protezione delle persone fisiche con riguardo al trattamento dei dati personali.
La protezione dei dati non potrà però rappresentare un limite alla libera circolazione dei dati. (art. 1)
La circolazione dei dati dovrà essere facilitata dalle nuove tecnologie che dovranno essere lette (o rilette) in chiave di privacy by design e by default; la rimozione degli ostacoli alla libera circolazione dei dati è pertanto un passaggio fondamentale per la crescita del mercato digitale. La frammentazione delle misure di protezione dei dati personali dovuta alle differenti modalità con cui la Direttiva 95/46/CE è stata attuata nei diversi stati membri ha rappresentato uno dei più significativi ostacoli alla libera circolazione dei dati. Si stima che la rimozione delle restrizioni alla libera circolazione dei dati possa generare un aumento del Pil europeo di alcuni miliardi, il tema della libera circolazione dei dati è quindi di interesse per il mercato.
Il Regolamento introduce numerose garanzie in favore dei cittadini europei e, allo stesso tempo, prevede molte novità che si traducono in nuovi adempimenti per le aziende e per gli studi professionali.
Il c.d. approccio basato sul rischio, è certamente noto anche nel sistema attualmente vigente. Il Decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy), infatti si era già preoccupato di precisare che l’attività di trattamento dei dati è un’attività pericolosa (art. 15), alla stregua della gestione di una centrale nucleare; conseguentemente, sotto il profilo dell’onere probatorio, la posizione del Titolare coincide con quella del gestore dell’attività pericolosa.
Il principio dell’accountability. Difficile tradurre un concetto come quello espresso dal termine accountability, forse rendicontazione oppure responsabilizzazione, quel che è certo è che l’azienda (in quanto Titolare del trattamento) viene responsabilizzata al punto da dover essere in grado di dimostrare di aver strutturato un sistema organizzato di gestione della Privacy conforme ai principi sanciti dal Regolamento (artt. 1 comma 2 e 24 Regolamento).
Ciò che è innegabile è il passaggio da una architettura (quella disegnata dal Codice privacy) fatta di misure minime di sicurezza e di regole calate dall’alto, ad un sistema di governancedove l’azienda è “libera” di (e allo stesso tempo obbligata a) scegliere quelle misure tecniche e organizzative più adeguate con riferimento ai trattamenti effettuati.
Il principio dell’accountability, per essere compreso, va declinato alla luce dei vari criteri “orientativi” che sono stati inseriti all’interno del Regolamento.
E’ indubbio che il Regolamento sia finalizzato a responsabilizzare i Titolari del Trattamento in merito alle conseguenze derivanti dall’esercizio di un’attività rischiosa.
La scelta è chiara e comprensibile. Chi trae profitto da un’attività rischiosa deve assumere la responsabilità della gestione di quello stesso rischio.
Avv. Giacomo Maria Maccaferro
Estratto del Comunicato stampa del Consiglio dei Ministri N.75.
Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (decreto legislativo – esame preliminare)
Il Consiglio dei Ministri, su proposta del Presidente Paolo Gentiloni e del Ministro della giustizia Andrea Orlando, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.
Per qualsiasi dubbi e/o chiarimento in materia di Qualità, Vi invitiamo a contattare il nostro Studio.
