Pubblicato sulla Gazzetta Ufficiale Ue il nuovo Pacchetto protezione dati personali, cioè il nuovo regolamento europeo privacy!

Sono stati pubblicati oggi sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

regolamento-privacy-solverSi tratta del passaggio finale per l’entrata in vigore del nuovo “Pacchetto protezione dati”, l’insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’UE.

Il Regolamento sarà vigente 20 giorni dopo la pubblicazione in GUUE, per diventare definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 24 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.

La Direttiva, invece, sarà vigente da domani, 5 maggio, e da qual momento impegnerà gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro 2 anni.

Roma, 4 maggio 2016

fonte: www.garanteprivacy.it

Arriva il nuovo regolamento Privacy. La tua azienda è pronta?

Dopo quasi 4 anni da quando era stato presentata la proposta dalla Commissione UE nel gennaio del 2012, è stato finalmente approvato, a dicembre del 2015, il nuovo Regolamento Europeo sulla protezione dei dati (Privacy), che dalla metà del 2016, introdurrà un’unica legislazione in tutte e 28 nazioni dell’UE. In Italia, prenderà il posto dell’attuale Codice Privacy (D.Lgs. 196/03).

Con il nuovo Regolamento UE sulla privacy, che dovrà essere rispettato anche dalle aziende che hanno sede al di fuori dell’Unione Europea, vengono confermate importanti novità che erano già contenute nella proposta originaria del 2012, come il diritto all’oblio, il diritto alla portabilità dei dati, le notificazioni delle violazioni alle autorità nazionali e anche agli stessi utenti nei casi più gravi (data breaches), modalità di accesso ai propri dati personali più facili per gli interessati, il meccanismo del “one-stop-shop”, con il quale le imprese avranno a che fare con un’unica autorità di vigilanza, e il concetto di “privacy by design”. Ma arrivano anche tagli di costi e meno burocrazie per le piccole e medie imprese al fine di stimolare la crescita economica e del mercato digitale: non saranno ad esempio più obbligatorie notifiche alle autorità di vigilanza, con un risparmio per le pmi di 130 milioni di euro l’anno,  e la possibilità di addebitare un contributo agli interessati per le richieste di accesso ai dati manifestamente infondate o eccessive.

La figura del responsabile della protezione dei dati (data protection officer) sarà una figura facoltativa per le piccole medie imprese, che non avranno neppure l’obbligo di effettuare la valutazione dell’impatto (privacy impact assessment), a meno che non esista un rischio elevato.

I testi definitivi saranno ora formalmente adottati dal Parlamento europeo e dal Consiglio nell’arco del 2016. Le aziende avranno due anni per adeguarsi.

Sentiamo in merito cosa ha detto Antonello Soro, Presidente del Garante per la protezione dei dati personali, in una recente intervista a Italia Oggi.

Più responsabilizzazione per abbattere la burocrazia

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali

(di Antonio Ciccia Messina, ItaliaOggi, 7 marzo 2016)

Valutazioni di impatto, sistemi di certificazione e di notificazione delle violazioni, nomina quando necessario, di un privacy officer: sono alcuni degli adempimenti cui le imprese devono prepararsi del periodo di transitorio, prima che il regolamento entri a regime. A sottolinearlo è Antonello Soro, presidente del Garante della privacy, che crede in una ricaduta economica positiva del nuovo sistema normativo.

Presidente Soro a che punto è l’iter del regolamento europeo? A quando la definitiva approvazione?

Il 18 dicembre è stato raggiunto l’accordo politico tra gli Stati sul pacchetto di riforma in materia di protezione dei dati personali. Il passaggio successivo prevede che il parlamento europeo esprima formalmente il proprio voto per arrivare, presumibilmente, alla pubblicazione in Gazzetta ufficiale dell’Unione europea entro la prima metà del 2016. Da quel momento il regolamento sarà immediatamente esecutivo e gli Stati membri avranno a disposizione due anni di tempo per adeguare, ove necessario, i propri ordinamenti e garantire l’allineamento fra le disposizioni nazionali esistenti (ove mantenute) e le nuove norme.

A una prima lettura del testo disponibile pare che il regolamento comporti nuovi adempimenti (valutazione impatto privacy, nomina obbligatoria di un responsabile interno) e un sistema sanzionatorio più pesante. Non è in contraddizione con l’obiettivo di semplificazione per le imprese e per le P.A.?

Il regolamento rappresenta una tappa fondamentale per garantire lo sviluppo di un mercato unico digitale con enormi vantaggi competitivi per tutte le imprese, comprese quelle di piccole e medie dimensioni, che ne sapranno cogliere le opportunità. Come più volte ribadito dalla stessa Commissione europea, i tagli in termini di oneri burocratici e di semplificazione saranno effettivi se le imprese, in conformità alle nuove disposizioni, ripenseranno attivamente alle modalità di gestione e di utilizzo dei dati personali attraverso una loro maggiore responsabilizzazione. Con riferimento, invece, alle modifiche al sistema delle sanzioni amministrative, che tutte le Autorità devono poter comminare, si prevede che siano definite entro una soglia pecuniaria massima (che può arrivare anche al 2 e al 4% del fatturato di una azienda) e nel rispetto di criteri fissati nel regolamento.

Cosa devono fare imprese, professionisti e p.a. nel biennio di vacatio legis?

Durante la fase di transizione, nel corso della quale mi auguro che il parlamento non attenda l’ultimo momento utile per adottare la relativa normativa di adeguamento, è necessario che le aziende, ma anche le pubbliche amministrazioni, inizino a ripensare i processi di trattamento dei dati alla luce delle nuove realtà (valutazioni di impatto, sistemi di certificazione e di notificazione delle violazioni) nonché a dotarsi, quando necessario, di un privacy officer.

Come cambia il ruolo dei Garanti nazionali?

Questo è uno dei punti di maggiore rilevanza. E invero, oltre a creare un insieme unico di norme, che renderà più semplice per le imprese operare in ambito Ue, il meccanismo del c.d. sportello unico (unitamente al meccanismo di coerenza) attribuirà, in estrema sintesi, la competenza ad assumere ogni tipo di misura, nonché a esercitare eventuali poteri correttivi, all’autorità del paese dove ha sede lo «stabilimento principale» della società. In questa prospettiva, per le autorità nazionali sarà notevolmente implementato il sistema (co-) decisionale in sede europea e rafforzato in modo significativo il ruolo del Board europeo che riunirà tutte le autorità di protezione dei dati.

Il Responsabile della protezione dei dati personali – (Data Protection Officer – DPO)

In questo articolo verrà presentata la figura del Responsabile della protezione dei dati personali (Data Protection Officer) come definita nella proposta di Regolamento COM(2012)11 concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”.

La normativa è attualmente ancora in fase di approvazione, quindi le informazioni qui presentate vanno considerate come suscettibili di cambiamenti.

QUALI SONO I REQUISITI?

Il Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà: possedere un’adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel Paese in cui opera; adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse nello svolgimento del suo compito di controllo e vigilanza; operare alle dipendenze del titolare oppure sulla base di un contratto di servizio. L’incarico avrà una durata di almeno 2 anni e sarà rinnovabile. Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

IN QUALI CASI E’ PREVISTO?

Dovranno designare obbligatoriamente un Responsabile della protezione dei dati personali: le amministrazioni e gli enti pubblici; le imprese con 250 o più dipendenti e tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati. Si può comunque designare un Responsabile della protezione dei dati personali anche in casi diversi da quelli sopra indicati.

QUALI SONO I COMPITI?

Il Responsabile della protezione dei dati personali dovrà:

a) informare e consigliare il titolare o il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo e conservare la documentazione relativa a tale attività e alle risposte ricevute;

b) vigilare sull’attuazione e sull’applicazione delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;

c) verificare l’attuazione e l’applicazione del Regolamento europeo, con particolare riguardo ai requisiti concernenti la protezione della privacy fin dalla sua progettazione; la protezione di default di dati e sistemi; la sicurezza dei dati; il riscontro alle richieste degli interessati di esercitare i diritti riconosciuti dal Regolamento;

d) garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare;

e) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;

f) controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti;

g) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa;

h) controllare che sia dato seguito alle richieste del Garante per la protezione dei dati personali e, nell’ambito delle sue competenze, cooperare di propria iniziativa o su richiesta dell’Autorità.

Il Responsabile della protezione dei dati personali – Scheda informativa – Garante protezione dati personali

EU-US Privacy Shield è il nuovo meccanismo che consentirà di trasferire i dati personali dall’Unione Europea agli Stati Uniti

I pilastri del nuovo quadro di regole che proteggerà i cittadini europei nel momento in cui i loro dati saranno trasferiti oltre oceano saranno: Trasparenza e certezza delle regole per le imprese, e garanzia per i cittadini europei di far valere il proprio diritto alla privacy anche con le autorità statunitensi. Stati Uniti e Unione Europea hanno trovato un’intesa.

Si chiama EU-US Privacy Shield ed è il nuovo meccanismo che consentirà di trasferire i dati personali dall’Unione Europea agli Stati Uniti. A condurre le trattative del nuovo accordo, che dovrà essere precisato nelle prossime settimane, sono state due donne, la commissaria europea alla Giustizia, Věra Jourová, e Penny Sue Pritzker, segretaria al Commercio nell’amministrazione Obama. Nelle prossime settimane la Commissione preparerà una decisione di adeguatezza, mentre gli Stati Uniti dovranno adottare le misure per realizzare gli impegni assunti con il nuovo accordo.

Il nuovo quadro di regole sostituisce il Safe Habor del 2000, il preesistente meccanismo invalidato dalla Corte di Giustizia Europea lo scorso 6 ottobre. L’accordo prevedeva un sistema di volontaria adesione ai principi concordati da Unione Europea e Stati Uniti, sotto la supervisione della Commissione federale per il commercio degli Stati Uniti (Federal Trade Commission),


Secondo le prime indicazioni trapelate, per conformarsi al nuovo meccanismo le società statunitensi dovranno rispettare specifici obblighi relativi alle modalità di trattamento dei dati e al rispetto dei diritti dei soggetti coinvolti. A supervisionare il rispetto di tali obblighi ci sarà la Federal Trade Commission. Nell’ambito dell’accordo gli Stati Uniti hanno assicurato che saranno previsti anche limiti chiari alla possibilità per le autorità di pubblica sicurezza di accedere ai dati personali, escludendo che avvengano attività di monitoraggio indiscriminato e non proporzionale.

A tutela dei cittadini europei che ritengano i propri diritti violati negli Stati Uniti ci saranno diversi strumenti: La possibilità per le Autorità europee di riportare casi alla Federal Trade Commission, oppure di rivolgersi a un Ombudsperson creata appositamente in caso di violazioni da parte delle autorità di intelligence.
Dopo il ricorso da parte dei cittadini europei le società avranno obbligo di risposta rapida. In caso contrario, un meccanismo di contenzioso sarà accessibile gratuitamente.

Ecco la dichiarazione in merito, rilasciata da Giovanni Buttarelli, Garante europeo della protezione dei dati.

L’accordo politico che dovrà essere tradotto in realtà nei prossimi mesi riguarda una delle modalità per trasferire dati personali dall’Europa verso gli​ Stati Uniti che è molto importante soprattutto per le PMI, perché le grandi imprese avevano iniziato due anni fa a fare uso di altri strumenti per mettersi al riparo dal possibile annullamento della decisione del 2000. Tuttavia, il bilanciamento degli interessi che si sta facendo intorno al Safe Harbor, avrà un effetto orizzontale, anche su questi altri strumenti. La prima conclusione è, appunto, che un accordo apparentemente riferito a una sola delle tante opzioni per trasferire dati all’estero avrà in realtà un effetto orizzontale, perché non stiamo discutendo tanto delle garanzie offerte dalle imprese in questo specifico contesto quanto, piuttosto, ed è stata questa la ragione per la quale la decisione del 2000 della Commissione Ue è stata annullata dalla Corte di Giustizia, dell’accettabilità in Europa di un uso di questi dati da parte delle autorità di intelligence di altri Paesi, in questo caso degli Stati Uniti, laddove l’uso non sia necessario, proporzionato, sicuro e con rimedi a garanzia dell’interessato in casi di errori o eventuali abusi.

La nostra tradizione giuridica è diversa da quelli di altri Paesi, compresi gli USA, e sebbene condividiamo alcuni valori generali in chiave di privacy, per quanto riguarda poi il modo concreto in cui queste attività di intelligence tengono luogo c’è molta differenza. Il gruppo di tutte le autorità garanti in Europa guarda positivamente all’annuncio che un accordo politico sarebbe stato concluso. Si tratta di una fumata, ma prima di vedere il colore bianco o nero dobbiamo vedere la sostanza. E questo avverrà nelle prossime settimane. Per il momento le autorità garanti dei 28 Paesi assieme al Garante europeo hanno adottato e pubblicato ieri una decisione con cui guardano a favore a questo annuncio e rendono noto che sono in procinto di completare l’analisi del sistema legale USA anche alla luce di recenti modifiche; hanno evidenziato quali sono i punti per loro essenziali, ai quali va aggiunto il profilo della vincolatività di queste misure per gli USA, in cui si accenna al fatto se siano sufficienti assicurazioni per iscritto da parte di alte autorità americane che l’accesso dei dati trasferiti dall’Europa, se necessario per ragioni di intelligence, avverrà soltanto quando è necessario e proporzionato. Gli “sherpa” interni alla Commissione sono stati delegati in sede plenaria dalla Commissione stessa a tradurre in concreto l’accordo politico in uno schema di decisione europea che dovrà essere sottoposto a vari pareri. La Commissione conta di finalizzare il primo schema entro qualche settimana e quindi non credo che prima della fine di marzo avremo la disponibilità integrale di questi testi. Dopodiché, la mia autorità da sola e insieme, in separato parere, con le autorità degli altri Paesi e anche un terzo organismo che riunisce i rappresentanti dei governi degli Stati membri, dovranno separatamente adottare dei pareri che hanno un’influenza sulla procedura. Quindi, come accaduto nel 1999 quando il Safe Harbor è stato adottato, è possibile che tra la proposta iniziale e poi quello che sarà eventualmente adottato e pubblicato in Gazzetta Ufficiale, ci sia una differenza sostanziale su aspetti anche importante. Le grandi linee che sono state annunciate sono positive e vanno nella giusta direzione. In questi casi il diavolo è nei dettagli, quindi bisogna vedere come esse sono, poi, concretamente sviluppate, considerato anche che il sistema giuridico americano è particolarmente complesso.

Nel 2014 e 2015 ci sono stati sviluppi normativi negli Stati Uniti e uno è ancora pendente. Questi cambiamenti hanno portato aspetti positivi in termini generali, ma non tutti. Alcune formulazioni sono state ritenute non chiare, non precise e addirittura insoddisfacenti. Comunque, qualcosa si è mosso. Vediamo adesso rispetto a quello che è stato fatto negli ultimi due anni che cosa interverrà in più, in un momento in cui c’è una transizione dell’amministrazione americana e l’Europa ha bisogno di rassicurazioni stabili nel tempo, che tengano conto di sviluppi di vario tipo e dell’esito delle elezioni negli Usa, tenendo conto che quello che è stato fatto negli ultimi due anni è stato realizzato da un certo tipo di presidenza che potrebbe essere diversamente collocata nel futuro. L’Europa vuole certezza e vuole il più possibile qualcosa simile a un sistema giuridico. Gli Usa hanno un approccio che limita al massimo il ruolo del Congresso nel ratificare accordi internazionali e c’è molta delega all’esecutivo in tutto questo. Ma qui siamo in una terra delicatissima: diritti umani e diritti della personalità. Bisogna andarci con i piedi di piombo”.