Nuove regole UE sulla data protection, nasce il diritto all’oblio

Il mese di gennaio appena terminato ha segnato la storia della protezione dei dati personali, perché, finalmente, dopo anni di gestazione, sono state divulgate dalla Commissione Europea le nuove norme che ne dovranno garantire, sull’intero territorio dell’Unione, il corretto trattamento.

Mercoledì 25 gennaio, infatti, Viviane Reding , il Commissario europeo per la Giustizia ha presentato una comunicazione strategica in cui la Commissione fissa gli obiettivi sulla protezione dei dati , e due proposte legislative: un regolamento ed una direttiva, che prescrivono le misure che dovranno essere adottate nell’intero territorio dell’Unione Europea

Le proposte della Commissione passano ora al Parlamento europeo e agli Stati membri dell’Unione, in sede di Consiglio dei Ministri, per la discussione. Una volta adottate, ed entreranno in vigore nel 2014.

I provvedimenti presentati sono di fondamentale importanza e cambieranno profondamente l’attuale disciplina sulla protezione dei dati personali.

Il primo di questi, che assume la forma del regolamento, sarà immediatamente applicabile sull’intero territorio dei 27 stati dell’unione europea, e avrà forza imperativa pur se le sue prescrizioni non venissero recepite da parte del singolo stato, assicurandosi così lo stesso standard di protezione dei dati a tutti i cittadini comunitari.

Il secondo provvedimento, invece, è una direttiva, che quindi ha bisogno di essere recepita, una volta approvata, da parte dello stato aderente all’Unione Europea e ha per oggetto l’individuazione delle misure di tutela dei dati personali nell’ipotesi dei trattamenti effettuati da organi di polizia e giudiziari per finalità di prevenzione, indagine, accertamento o perseguimento dei reati e nell’ambito delle conseguenti attività giudiziarie.

Attraverso tale corpus normativo si provvede ad una importante revisione delle direttive europee per la protezione dei dati personali attualmente vigenti.

La “Direttiva 95-46-CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” , è stata adottata il 24 ottobre 1995 dal Parlamento e dal Consiglio Europeo e, in un epoca, quindi , in cui non erano neppure immaginabili gli attuali contesti di automazione del trattamento dei dati personali.

Sempre più spesso tali regole, enucleate più di ventisei anni orsono e che hanno dato origine a modi e livelli di tutela diversi nel territorio dei diversi stati dell’unione, si sono dimostrate non adeguate all’attuale evoluzione delle tecnologie per la comunicazione, quindi incapaci di proteggere efficacemente i dati personali oggetto di trattamento.

Pertanto da tempo si aspettava una revisione di tale direttiva, doverosa anche perché i risultati di un indagine effettuata a livello europeo hanno indicato che oltre il 70% dei cittadini sentiva il bisogno da tempo di un livello di protezione dei dati personali omogeneo in tutto lo spazio comunitario, requisito ormai indispensabile per il mercato e l’impresa.

Sono dietro l’angolo, quindi, regole nuove, che esplicheranno la propria efficacia tra due anni , e che prevedono un approccio diverso , più sostanziale e meno burocratico, alla corretta gestione dei dati personali.

L’obiettivo che il  commissario Viviane Reding vuol raggiungere con l’adozione dei provvedimenti appena presentati è far diventare le disposizioni europee sulla protezione dei dati un vero e proprio marchio di qualità nel mondo; le parole chiave alla base della strategia Ue perché ciò avvenga sono ‘consenso’ e ‘trasparenza’.

Ad esempio, gli utenti dovranno esprimere sempre il consenso prima che le loro informazioni possano essere utilizzate e il consenso non potrà in alcun modo essere presunto, come invece avviene ad oggi in Italia per quanto riguarda le regole per il trattamento dei dati a fini di marketing telefonico, dove chi non vuole essere contattato dalle imprese per finalità promozionali è tenuto a fare apposita segnalazione ad un c.d. “registro delle opposizioni”.  

Addirittura ai cittadini viene riconosciuto il diritto alla portabilità dei dati“, che consentirà loro di trasferire i dati personali da un fornitore di servizi, ad esempio da un fornitore di servizi IP, ad un altro più facilmente( e al riguardo già i colossi del settore si stanno adeguando in via preventiva a vedere i loro utenti come qualcuno a cui si deve chiedere come vogliono vedere gestiti i loro dati personali, vedi ad esempio Google) .

Con il regolamento inoltre viene riconosciuto per la prima volta il “Diritto all’oblio”, cioè viene introdotta la possibilità di cancellare i dati immessi in rete se non sussistono motivi legittimi per continuare a trattarli.

E i cittadini potranno rivolgersi per avanzare i propri reclami all’Autorità Garante dello Stato in cui risiedono , anche quando i dati personali a loro riferibili sono trattati da aziende con sede al di fuori dello spazio comunitario.

Ma queste non sono le sole novità che saranno introdotte con l’entrata in vigore del regolamento UE sulla data protection.

L’eventuale perdita dei dati personali, ad esempio, dovuta a mancata tenuta in sicurezza dei dati o ad un attacco informatico, non rimarrà più una situazione di cui viene a conoscenza solo il Titolare del trattamento, ma di quanto accaduto dovrà essere fatta immediata comunicazione, al massimo entro 24 ore, a tutti i cittadini interessati e all’Autorità Garante dello Stato dove ha lo stabilimento principale il Titolare.

Diminuiranno i casi in cui l’azienda è tenuta a notificare preventivamente all’Autorità Garante il trattamento dei dati, ma questa sarà invece obbligata a predisporre e conservare la documentazione che illustra le modalità dei singoli trattamenti di dati, ma , qualora abbia natura pubblica o occupi più di 250 addetti, sarà tenuta a dotarsi di un Privacy Officier, un vero e proprio esperto della disciplina che dovrà coordinare tutto il percorso di gestione degli adempimenti di legge per la protezione dei dati personali.

Un percorso che , se non ben gestito, può costar caro all’azienda, perché il regolamento prevede un inasprimento delle sanzioni per lo scorretto trattamento dei dati personali; infatti, l’Autorità Garante potrà comminare sanzioni pecuniarie che complessivamente potrebbero raggiungere somme ragguardevoli, persino fino a 1 milione di euro o al 5% del fatturato mondiale annuo.

 

Polito Filomena

Scrivi un commento

Accedi per poter inserire un commento