REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO
EUROPEO E DEL CONSIGLIO
del 27 aprile 2016
relativo alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali,
nonché alla libera circolazione di tali dati
e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati)
Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva, che dovrà essere recepita dagli Stati membri entro 2 anni.
Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento, che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
con il regolamento Europeo in materia di protezione dei dati personali (regolamento 2016/679), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016 inizia una nuova stagione per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Il regolamento costituisce un prezioso tentativo di armonizzazione delle regole privacy dei vari Stati ed è finalizzato a sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.
Il regolamento costituisce con la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati il c.d. “pacchetto protezione dati personali”.
Il testo del regolamento abroga la direttiva la Direttiva 95/46/Ce in materia di protezione dei dati personali /privacy, concepita in un periodo nel quale solo una minima parte della popolazione europea (nella percentuale del 1%) utilizzava internet e non esistevano social media, tablet, app e gli scenari e gli effetti della moderna e l’ attuale società della sorveglianza elettronica nella quale sono gli stessi cittadini che pubblicano, più o meno inconsapevolmente i propri dati personali sulle piattaforme on line e social media.
Il regolamento è entrato in vigore il 24 maggio 2016 ma troverà applicazione negli Stati solo alla data del 25 maggio 2018: le imprese e le pubbliche amministrazioni hanno pertanto due anni (un periodo di tempo congruo ma non troppo ampio) per organizzarsi e adeguarsi alle nuove regole.
Quali sono le principali novità per i cittadini? e quali sono gli impatti per la pubblica amministrazione?
I cittadini, con le nuove disposizioni, sono al centro del sistema; sono riconosciuti ai cittadini: il diritto alla portabilità dei dati, il diritto all’oblio (riconosciuto fino ad ora solo a livello giurisprudenziale), il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati sui suoi dati e di controllare, il diritto di essere informato sulle violazioni dei propri dati personali (“data breach”, notificazione di una violazione di dati). Il testo in esame riconosce, pertanto, un livello elevato e uniforme di tutela dei dati ed è finalizzato a dare un maggiore controllo ai cittadini sull’utilizzo dei loro dati.
Il regolamento comporta un cambiamento anche culturale: difendere i dati, significa difendere le persone, l’ identità e la libertà delle stesse.
I cittadini hanno il diritto di essere avvertiti dalle pubbliche amministrazioni e dalle imprese delle violazioni dei loro dati personali (data breach notification) entro le 72 ore, obbligo previsto attualmente solo in alcuni settori (fascicolo e dossier sanitario, interscambio di dati fra le pubbliche amministrazioni, Tlc e settore bancario).
I cittadini hanno il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per loro conto e di esercitare per loro conto i diritti sui propri dati (v. artt. 77, 78 e 79) nonché, il diritto di ottenere il risarcimento dei danni causato dalla violazione del regolamento.
Il testo impone alle imprese e alle pubbliche amministrazioni una forte responsabilizzazione, un cambio di passo, un approccio proattivo, la protezione dei dati personali diventa, finalmente, un asset strategico delle pubbliche amministrazioni che deve essere valutato prima, già nel momento di progettazione di nuove procedure, prodotti o servizi, (principi data protection by design” e “data protection by default) senza derive burocratiche che hanno negli anni passato relegato la protezione dei dati personali ad un mero adempimento formale di mettere una firma per presa visione dell’informativa o per il consenso al trattamento di dati sanitari: con il regolamento si torna alla concretezza.
Le pubbliche amministrazioni hanno, a seguito delle disposizioni del regolamento europeo, l’obbligo prima di procedere al trattamento, di effettuare una valutazione dell’impatto (“privacy impact assessment”), dei trattamenti previsti dal regolamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La valutazione di impatto privacy richiede una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati.
Il regolamento europeo introduce alcune semplificazioni degli oneri e adempimenti a carico delle Pa.: viene abrogato l’adempimento della notificazione preliminare al Garante privacy, dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di trattamenti dati particolarmente delicati (es. dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria etc..).
Regolamento UE 2016 679. Con riferimenti ai considerando
