Novita' ad ampio raggio per la protezione dei dati personali
Sulla Gazzetta Ufficiale Ue 4 maggio 2016 n. L 119 è stato pubblicato il Regolamento 27 aprile 2016 n. 679, relativo alla protezione delle persone fisiche sotto i due profili del trattamento dei dati personali e della libera circolazione di tali dati.
Il Regolamento – che fa parte del c.d. “Pacchetto protezione dati”, insieme alla Direttiva 27 aprile 2016 n. 680, in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini – mira ad assicurare un livello di protezione delle persone fisiche uniforme e omogeneo nell’Unione europea, prevenendo disparità che possano ostacolare la libera circolazione dei dati personali nel mercato interno (considerando n. 13).
L’applicazione del Regolamento – che non necessita di recepimento – è posticipata al 25 maggio 2018, per consentire il necessario adeguamento dell’attuale quadro giuridico nazionale alle regole comunitarie e determinerà nel nostro ordinamento una profonda revisione del Codice della protezione dei dati personali di cui al DLgs. 196/2003.
A decorrere dalla medesima data viene abrogata la Direttiva (CE) n. 95/46/CE, contenente il regolamento generale sulla protezione dei dati.
Quanto all’ambito applicativo materiale (art. 2 del Regolamento), vengono in considerazione il trattamento interamente o parzialmente automatizzato di dati personali e il trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Vengono esclusi i trattamenti di dati personali effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, i trattamenti effettuati nell’esercizio di attività rientranti nella politica estera e di sicurezza comune (considerando n. 16) e i trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, comprese la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
Inoltre, il Regolamento non si applica al trattamento di dati personali effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico e, quindi, come precisato nel considerando n. 18, senza una connessione con un’attività commerciale o professionale. Nelle attività a carattere personale o domestico potrebbero essere ricompresi la corrispondenza e gli indirizzari, l’uso dei social network e attività on line intraprese nel quadro di tali attività.
Escluse le attività di carattere personale/domestico
Riguardo alle misure di protezione previste, il Garante della privacy è intervenuto con una Guida informativa, nel quale vengono evidenziate le significative innovazioni apportate non solo per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni e i liberi professionisti. Il Garante sottolinea, in particolare, che il Regolamento in commento:
- introduce regole più chiare in materia di informativa e consenso;
- definisce i limiti al trattamento automatizzato dei dati personali;
- pone le basi per l’esercizio di nuovi diritti;
- stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Unione europea e per i casi di violazione dei dati personali (c.d. “data breach”).
Quanto più nello specifico alle imprese e agli enti, una delle principali novità riguarda l’introduzione della figura del responsabile della protezione dei dati (“Data Protection Officer” o DPO), incaricato di assicurare una gestione corretta dei dati personali (art. 37 del Regolamento).
Il DPO deve essere obbligatoriamente previsto qualora:
- il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali, quali i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici e i dati biometrici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9 del Regolamento), o ancora i dati relativi a condanne penali e reati (art. 10 del Regolamento).
Sulla Gazzetta Ufficiale Ue 4 maggio 2016 n. L 119 è stato pubblicato il Regolamento 27 aprile 2016 n. 679, relativo alla protezione delle persone fisiche sotto i due profili del trattamento dei dati personali e della libera circolazione di tali dati.
Il Regolamento – che fa parte del c.d. “Pacchetto protezione dati”, insieme alla Direttiva 27 aprile 2016 n. 680, in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini – mira ad assicurare un livello di protezione delle persone fisiche uniforme e omogeneo nell’Unione europea, prevenendo disparità che possano ostacolare la libera circolazione dei dati personali nel mercato interno (considerando n. 13).
L’applicazione del Regolamento – che non necessita di recepimento – è posticipata al 25 maggio 2018, per consentire il necessario adeguamento dell’attuale quadro giuridico nazionale alle regole comunitarie e determinerà nel nostro ordinamento una profonda revisione del Codice della protezione dei dati personali di cui al DLgs. 196/2003.
A decorrere dalla medesima data viene abrogata la Direttiva (CE) n. 95/46/CE, contenente il regolamento generale sulla protezione dei dati.
Quanto all’ambito applicativo materiale (art. 2 del Regolamento), vengono in considerazione il trattamento interamente o parzialmente automatizzato di dati personali e il trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Vengono esclusi i trattamenti di dati personali effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, i trattamenti effettuati nell’esercizio di attività rientranti nella politica estera e di sicurezza comune (considerando n. 16) e i trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, comprese la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
Inoltre, il Regolamento non si applica al trattamento di dati personali effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico e, quindi, come precisato nel considerando n. 18, senza una connessione con un’attività commerciale o professionale. Nelle attività a carattere personale o domestico potrebbero essere ricompresi la corrispondenza e gli indirizzari, l’uso dei social network e attività on line intraprese nel quadro di tali attività.
Escluse le attività di carattere personale/domestico
Riguardo alle misure di protezione previste, il Garante della privacy è intervenuto con una Guida informativa, nel quale vengono evidenziate le significative innovazioni apportate non solo per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni e i liberi professionisti. Il Garante sottolinea, in particolare, che il Regolamento in commento:
- introduce regole più chiare in materia di informativa e consenso;
- definisce i limiti al trattamento automatizzato dei dati personali;
- pone le basi per l’esercizio di nuovi diritti;
- stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Unione europea e per i casi di violazione dei dati personali (c.d. “data breach”).
Quanto più nello specifico alle imprese e agli enti, una delle principali novità riguarda l’introduzione della figura del responsabile della protezione dei dati (“Data Protection Officer” o DPO), incaricato di assicurare una gestione corretta dei dati personali (art. 37 del Regolamento).
Il DPO deve essere obbligatoriamente previsto qualora:
- il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali, quali i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici e i dati biometrici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9 del Regolamento), o ancora i dati relativi a condanne penali e reati (art. 10 del Regolamento).