Accredia / Scenario legislativo – privacy

Scenario legislativo

Norme armonizzate per la privacy

Il Regolamento Generale sulla Protezione dei Dati (GDPR), in vigore dal 25 maggio 2018, ha sostituito la Direttiva sulla protezione dei dati 95/46/CE, e ha promosso l’applicazione coerente di norme uniformi in tutti gli Stati membri.

L’impiego diffuso di Internet e dei sistemi di intelligenza artificiale da parte di imprese, istituzioni e cittadini, nonché il diffondersi di nuovi modelli economici, basati sull’utilizzo dei dati, accresce il rischio di crimini informatici.

L’acquisizione, l’alterazione o la divulgazione non autorizzata di dati è un pericolo reale. Negli ultimi anni in Europa si sono registrate migliaia di violazioni di dati personali (data breach) e l’Unione europea si è attivata per affrontare la questione.

L’esigenza di garantire un’adeguata tutela della privacy in tutti gli Stati membri ha portato all’emanazione della Direttiva 95/46/CE sulla protezione dei dati, abrogata dal Regolamento UE 679/2016 (GDPR – General Data Protection Regulation), che ha fissato regole armonizzate direttamente applicabili all’interno dell’UE per la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR ha definito le modalità ammesse di raccolta, conservazione, uso, modifica e diffusione dei dati personali, i ruoli, le responsabilità e le sanzioni. Inoltre ha identificato le autorità di controllo e le garanzie dei sistemi di protezione. Le modifiche introdotte puntano su una maggiore responsabilizzazione delle figure coinvolte e mirano a dare maggiore concretezza alle attività di protezione dei dati.

La Direttiva 95/46/CE

Prima del GDPR, la Direttiva 95/46/CE era il principale strumento normativo a tutela delle persone fisiche in materia di trattamento dei dati personali, volto a favorire la libera circolazione delle informazioni in ambito UE.

Adottata il 24 ottobre 1995, con l’obiettivo di armonizzare le norme e di favorire la libera circolazione dei dati personali all’interno dell’Unione europea, la Direttiva 95/46/CE impegnava gli Stati membri a mettere in campo, tramite le leggi nazionali di recepimento, una normativa che garantisse un livello elevato e uniforme di tutela dei diritti e delle libertà fondamentali dei cittadini.

La Direttiva 95/46/CE “Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” ha avuto un ruolo fondamentale per gli scambi commerciali, perché ha consentito l’abbattimento delle frontiere all’interno dell’Unione europea, contribuendo a creare le condizioni per la realizzazione del free flow of data al centro dell’agenda europea, come strategia per la creazione del Digital Single Market.

Al di là degli intenti, la Direttiva ha realizzato solo parzialmente l’obiettivo di offrire maggiori garanzie in materia di protezione dei dati personali, in parte a causa delle divergenze tra le leggi nazionali di recepimento – in Italia la Legge 675/1996, poi sostituita dal D.Lgs. 196/2003, recante il “Codice in materia di protezione dei dati personali” – in parte a causa dell’ottica prettamente commerciale, cui si è accompagnata una concezione burocratica della gestione del dato, delle informative e del consenso dell’interessato.

Parallelamente, la rapida evoluzione della tecnologia ha contribuito ad accentuare la percezione del rischio di violazioni della privacy, e a diffondere una maggiore sensibilità verso il tema della protezione dei dati, insieme a una crescente aspettativa sociale di garanzie più efficaci a tutela di diritti riconosciuti come fondamentali.

Accountability e trasparenza

Il GDPR segna una rivoluzione in materia di privacy e introduce politiche di regolamentazione più efficaci. Nasce il la figura del Data Protection Officer, a supporto del titolare del trattamento dei dati nelle aziende pubbliche e private.

Il Regolamento europeo 679/2016 risponde all’esigenza di garantire a tutti i cittadini europei il controllo sulla diffusione e l’utilizzo dei propri dati personali, stabilendo regole coerenti e uniformi a tutela della privacy, riconosciuta come diritto fondamentale sia dal Trattato sul Funzionamento dell’UE (art. 16) che dalla Carta dei diritti fondamentali dell’UE (art. 8).

La riforma si ispira a valori come la centralità dell’uomo e la trasparenza, e punta sul concetto di accountability, responsabilizzazione del titolare del trattamento, chiamato a adottare politiche e misure adeguate a dimostrare la conformità del trattamento dei dati personali effettuato.

L’applicazione territoriale
  • Il  GDPR si applica a tutti i soggetti pubblici e privati che trattano dati personali di persone fisiche nell’Unione europea, anche alle aziende operanti al di fuori della UE che monitorano il comportamento e offrono beni e servizi ai cittadini europei.
  • Il GDPR si applica alle società che trattano i dati personali dei residenti nella Unione europea, indipendentemente dalla posizione della società e dal fatto che il trattamento avvenga o meno in uno Stato membro. Questa modifica è importante perché l’applicabilità territoriale della Direttiva 95/46/CE, facendo riferimento al trattamento dei dati “nel contesto di uno stabilimento”, dava adito ad ambiguità interpretative, puntualmente emerse in diversi casi giudiziari.
I temi chiave

Il Regolamento europeo 679/2016 presenta numerose novità per la protezione dei dati delle persone fisiche e implementa nuove regole per il relativo trattamento da parte di soggetti terzi. La pagina informativa sul sito del Garante della Privacy approfondisce tutti gli elementi di attenzione:

  • Il Responsabile della Protezione dei Dati (RPD)
  • Valutazione d’impatto sulla protezione dei dati
  • Individuazione e gestione del rischio
  • Violazioni di dati personali (Data Breach)
  • Applicazione e definizione delle sanzioni amministrative, in base alle previsioni del Regolamento (UE) 679/2016
  • Trasparenza in base alle previsioni del Regolamento (UE) 679/2016
  • Processi decisionali automatizzati e profilazione
  • Diritto all’oblio
  • Diritto alla portabilità dei dati
  • Consenso in base alle previsioni del Regolamento (UE) 679/2016
  • Data Protection by Design e Data Protection by Default, in base alle previsioni del Regolamento (UE) 679/2016
  • Autorità di controllo capofila
  • Registro delle attività di trattamento
  • Accreditamento degli organismi di certificazione
  • Trasferimento di dati personali all´estero