Approvato il nuovo Regolamento UE per la protezione dei dati

Martedì 15 dicembre è stato raggiunto ‒ dopo quasi tre anni dalla presentazione della proposta formulata dalla Commissione europea e dopo un lungo negoziato con Parlamento e Consiglio ‒ l’accordo relativo al nuovo Regolamento europeo sulla protezione dei dati personali. Questa importante riforma, che segna una svolta verso l’affermazione del Digital Single Market auspicato dalla Commissione, sarà inclusa nel 2016 in una Riforma della Privacy che dovrà essere applicata in tutti gli Stati membri entro il 2018 (in Italia diremo quindi addio all’attuale Codice Privacy – Dlgs 196/2003).
Andrus Ansip, Vicepresidente per il Mercato Unico Digitale, ha così commentato: “L’accordo di oggi è un passo importante verso il Mercato Unico Digitale: rimuoverà gli ostacoli e sbloccherà opportunità. Il futuro digitale dell’Europa può essere costruito solo sulla fiducia. Con comuni e solide norme per la protezione dei dati, le persone potranno essere sicure di avere il controllo delle loro informazioni personali, e potranno godere di tutti i servizi e le opportunità che questo mercato offre. Non dobbiamo vedere la privacy e la protezione dei dati come fattori che ostacolano le attività economiche. Essi sono, infatti, un vantaggio competitivo essenziale, e l’accordo di oggi si basa su questo. Il prossimo passo sarà quello di eliminare gli ostacoli ingiustificati che limitano il flusso transfrontaliero dei dati”.
Cerchiamo allora di capire in che cosa consiste la riforma e quali cambiamenti comporta. La nuova normativa si compone di due parti:
• il regolamento generale sulla protezione dei dati, che permette un migliore controllo degli stessi da parte dei diretti interessati e, grazie alle regole modernizzate e unificate, consente alle aziende di sfruttare al meglio le opportunità del Mercato Unico Digitale, riducendo la burocrazia e aumentando la fiducia dei consumatori;
• la direttiva sulla protezione dei dati in ambito di giustizia penale e sistemi di polizia, che permette di tutelare i dati di vittime, testimoni e indagati, facilitando inoltre la cooperazione tra polizia e pubblici ministeri dei vari Paesi UE, per una lotta più efficace contro criminalità e terrorismo.
A seguito di questa riforma i cittadini europei godranno di nuovi vantaggi, tra cui:
• possibilità di accedere facilmente ai propri dati, che dovranno essere resi disponibili in modo chiaro e immediato;
• diritto alla portabilità, che semplificherà il trasferimento dei dati personali da un service provider all’altro;
• diritto all’oblio, ovvero la possibilità di richiedere la cancellazione dei propri dati, qualora non ci sia più legittimità nel loro possesso da parte di aziende e organizzazioni;
• possibilità di sapere quando i dati vengono hackerati ‒ verrà infatti introdotto l’obbligo di notifica all’autorità nazionale di controllo in caso di gravi violazioni, affinché gli utenti possano adottare le misure appropriate per tutelarsi.
Per quanto riguarda le imprese, l’Unione Europea ha sottolineato come queste nuove regole comuni siano state ideate non con l’intento di frenare il business, bensì di accrescerlo e promuoverlo. Sia le piccole sia le grandi aziende beneficeranno di questa riforma, grazie a un sistema di sgravi fiscali che permetterà loro di essere in regola con costi sostenibili. Il primo beneficio deriva proprio dall’introduzione di un sistema unico di regole, più semplice ed economico per le imprese che fanno affari in Europa; queste avranno d’ora in poi a che fare con un’unica autorità di vigilanza (il cosiddetto meccanismo del “one-stop-shop”), novità che farà loro risparmiare, secondo la Commissione europea, circa 2.3 miliardi di euro all’anno. Anche le imprese con sede al di fuori dell’UE saranno tenute a rispettare queste regole in caso di erogazione dei loro servizi in territorio europeo. Viene inoltre introdotto il “Data protection by design”, cioè la presenza di garanzie di protezione dei dati a partire dalla prima fase di sviluppo di prodotti e servizi. Le PMI non avranno più l’obbligo di notifica alle autorità di controllo, né quello di valutazione d’impatto (solo nel caso in cui non ci sia un effettivo rischio elevato) o di nomina del responsabile per la protezione dei dati (nel caso in cui il trattamento dei dati non costituisca la principale attività dell’azienda); inoltre le PMI potranno richiedere il pagamento delle spese in caso di richieste di accesso ai dati palesemente infondate o eccessive. In caso di non conformità al nuovo regolamento la Commissione europea ha previsto – con riferimento, in particolare, alle web company che trattano i dati dei cittadini ‒ sanzioni pari al 4% del fatturato mondiale annuo.
“Con l’approvazione del regolamento europeo, le aziende hanno adesso un’opportunità unica di sfruttare il mercato digitale” ha affermato il presidente di Federprivacy, Nicola Bernardi. “Per essere competitive evitando le pesanti sanzioni che saranno previste dalla nuova normativa, ora le aziende avranno sempre più necessità di avvalersi di professionisti e Privacy Officer specializzati e dovutamente preparati per dialogare tra una nazione e l’altra sotto un unico ombrello normativo”.