Protezione dati personali: come giungere preparati alla scadenza del 25 maggio 2018

Il Regolamento 2016/679/UE, entrato in vigore nel maggio 2016, dispiegherà la propria completa efficacia a partire dal prossimo 25 maggio 2018: come gestire il periodo transitorio ed impostare buone prassi?

19 Maggio 2017
Modifica zoom
100%
di GLORIAMARIA PACI E LUCIANO DELLI VENERI

Dopo un iter durato oltre quattro anni, il 24 maggio 2016 è ufficialmente entrato in vigore il Regolamento 2016/679/UE sulla protezione dei dati personali (nel seguito anche “Regolamento”) che dispiegherà la propria completa efficacia a partire dal prossimo 25 maggio 2018 quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.
Resta quindi un anno per prepararsi a questa importante scadenza. Un periodo di tempo che andrà utilizzato al meglio considerando i significativi cambiamenti che la norma ha introdotto.

Perché un Regolamento

Esaminiamo nel dettaglio il Regolamento per coglierne gli aspetti principali e valutarne i più significativi impatti. Prima di tutto è importante sottolineare che la scelta del Legislatore dello strumento del “Regolamento” ha voluto porre le basi affinchè a livello comunitario si creassero le condizioni per l’applicazione di una normativa unica in tutti i paesi superando quella che di fatto era una frammentazione che vedeva 28 differenti modi di concepire la protezione dei dati personali ed applicare la Direttiva 95/46/UE: infatti la direttiva privacy con le sue 28 diverse trasposizioni nel paesi Membri UE ha comportato e continua a comportare un quadro normativo frammentario e disomogeneo, che ha creato e crea squilibri, condizioni di sbilanciamento e diversità di regole per le organizzazioni (aziende, enti,…) che fanno business nella UE, incluso anche le organizzazioni extra UE.
Il Regolamento pone quindi le basi affinché, ad esempio, un Titolare italiano con sede/stabilimenti produttivi, sedi secondarie, filiali in altri Stati europei potrà fare affidamento sul fatto che la normativa sulla protezione di dati personali sarà, se non del tutto identica, almeno analoga a quella applicata in Italia: nella realtà almeno in una prima fase vi potranno essere delle differenze dovute alla esigenza di rendere omogenei contesti normativi ed applicativi che sono, in molti casi, significativamente differenti.
A titolo esemplificativo, in alcuni Stati le Autorità di controllo in materia di protezione dei dati personali non hanno poteri sanzionatori, in altri tutti i trattamenti devono essere notificati, in altri ancora non è previsto il consenso per l’impiego dei cookies. Ciò potrà interessare anche il nostro paese poiché, anche se il Regolamento è direttamente vincolante ed applicabile, vi è l’esigenza che il legislatore nazionale, d’intesa con il Garante italiano, intervenga per raccordare tutti i provvedimenti nazionali e renderli coerenti con il nuovo quadro normativo europeo. Ciò che è estremamente importante, tutti i Titolari che raccolgono i dati personali dei propri Clienti, Dipendenti, etc. avranno gli stessi diritti e doveri e questo costituirà sicuramente una notevole semplificazione e, conseguentemente, una auspicata riduzione degli adempimenti e dei connessi costi.
Tale semplificazione riguarderà anche le Autorità di protezione dei dati personali (nel seguito anche “DPA) poiché anche per costoro varrà il principio dei semplificazione che, di massima, consentirà al Titolare di avere a riferimento la DPA del proprio Stato nazionale e sarà questa poi a farsi carico della relazione con le altre DPA eventualmente chiamate in causa.

A chi si applica

Un altro aspetto estremamente importante riguarda l’ambito territoriale di applicabilità del regolamento indicato dall’art. 3 del regolamento che al c. 2 prevede che:
Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione;
Si tratta sicuramente di uno dei punti cardini del Regolamento con il quale si è voluto perseguire un obiettivo di ribilanciamento della libera concorrenza tra imprese ponendo le basi per il superamento del vantaggio competitivo basato su di una più ampia libertà di azione che ha visto come sicure favorite molte multinazionali d’oltre oceano. In estrema sintesi, quindi, tutti i soggetti economici che intendono offrire servizi, anche non a pagamento, a “Interessati” che si trovano all’interno dei confini dell’Unione Europea devono rispettare le prescrizioni del Regolamento indipendentemente da dove ha sede l’azienda o dove si trovano gli apparati con i quali i trattamenti vengono effettuati.

>> CONTINUA A LEGGERE L’ARTICOLO QUI

 

FORMAZIONE
L’applicazione della normativa sulla privacy negli Enti Pubblici: dal Decreto Legislativo n. 196/2003 al Regolamento UE 2016/679
Bologna, 30 maggio 2017

Scrivi un commento

Accedi per poter inserire un commento