Ecco il progetto di regolamento generale sulla protezione dei dati personali che potrebbe vedere la luce nel 2016.
Contiene molti principi fondamentali interessanti a tutela delle persone.
Tra questi principi, uno dei più affascinanti e illuminati è quello contenuto all’art. 20 della proposta di legge che prevede chiaramente: “Chiunque ha il diritto di non essere sottoposto a una misura che produca effetti giuridici o significativamente incida sulla sua persona, basata unicamente su un trattamento automatizzato destinato a valutare taluni aspetti della sua personalità o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento“.
Questo e altri principi vengono però ridimensionati al successivo art. 21 che stabilisce:
“L’Unione o gli Stati membri possono limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui all’articolo 5, lettere da a) a e), agli articoli da 11 a 20 e all’articolo 32, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per salvaguardare, tra l’altro:
– la pubblica sicurezza;
– le attività volte a prevenire, indagare, accertare e perseguire reati;
– altri interessi pubblici dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, e la stabilità e l’integrità del mercato;
– una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui sopra;
Quindi basta una non meglio precisata esigenza di controllo o ispezione per le ragioni sopra indicate a eludere i principi privacy enunciati nel progetto di regolamento.
Secondo la Commissione, leggendo sul suo sito, il progetto di regolamento generale sulla protezione dei dati dovrebbe aggiornare e modernizzare i principi contenuti nella direttiva sulla protezione dei dati del 1995.
E in effetti il progetto definisce i diritti delle persone fisiche e stabilisce gli obblighi di coloro che trattano i dati o sono responsabili del loro trattamento. Stabilisce anche i metodi per garantire il rispetto delle norme e la portata delle sanzioni a carico di coloro che le violano.
In una riunione straordinaria tenutasi il 17 dicembre 2015 la commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha espresso la sua posizione sui testi concordati nei negoziati in forma di trilogo tra il Consiglio, il Parlamento europeo e la Commissione. Il 18 dicembre 2015 il Comitato dei rappresentanti permanenti (Coreper) ha approvato il testo di compromesso.
Alcune polemiche sono sorte dalla possibilità di un obbligo di autorizzazione da parte dei genitori per i minori di 16 anni che intendano accedere alle piattaforme online con login. In merito, il Parlamento ha garantito la flessibilità delle regole per gli Stati membri, che potranno impostare l’obbligo tra i 13 e i 16 anni.
In particolare l’art. 8 della bozza di Regolamento prevede, al comma 1, che: “Ai fini del presente regolamento, per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali di minori di età inferiore ai tredici anni è lecito se e nella misura in cui il consenso è espresso o autorizzato dal genitore o dal tutore del minore. Il responsabile del trattamento si adopera in ogni modo ragionevole per ottenere un consenso verificabile, in considerazione delle tecnologie disponibili“.
Inoltre il comma 4 prevede che: “La Commissione può stabilire moduli standard per specifiche modalità di
ottenimento del consenso verificabile“.
Mentre si attendono analisi specifiche del testo e dei suoi possibili effetti nell’immediato futuro, Digital Europe, che rappresenta alcuni dei maggiori operatori dell’industria tecnologica operanti in Europa, ne ha criticato il contenuto per ciò che riguarda le sanzioni previste, ritenute misure pericolose per il mercato: “Occorre evitare l’introduzione di un regime di sanzioni che è sproporzionato, rigido e fissa le sanzioni sulla base del fatturato globale, comprese le entrate che sono del tutto estranee alla attività di trattamento dei dati”.
In dettaglio
Il progetto di regolamento affronta numerose questioni fondamentali.
Diritti degli interessati
La proposta elenca i diritti degli interessati, vale a dire le persone fisiche i cui dati personali vengono trattati. Tali diritti rafforzati conferiscono ai singoli un maggiore controllo sui propri dati personali, anche attraverso:
la necessità del chiaro consenso dell’interessato al trattamento dei dati personali
un accesso facilitato dell’interessato ai suoi dati personali
il diritto alla rettifica, alla cancellazione e “all’oblio”
il diritto di obiezione, anche riguardo all’uso dei dati personali a fini di “profilazione”
il diritto di portabilità dei dati da un prestatore di servizi a un altro
Il regolamento stabilisce anche l’obbligo per i responsabili del trattamento dei dati di fornire agli interessati informazioni trasparenti e facilmente accessibili sul trattamento dei loro dati.
Conformità
La proposta specifica gli obblighi generali dei responsabili del trattamento dei dati personali e di coloro che li trattano per loro conto (incaricati del trattamento). Tra questi figura l’obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati effettuate (approccio basato sul rischio). I responsabili del trattamento sono inoltre tenuti, in taluni casi, a comunicare le violazioni di dati personali. Tutte le autorità pubbliche e le imprese che svolgono talune operazioni di trattamento dei dati rischiose dovranno inoltre nominare un responsabile della protezione dei dati.
Controllo e risarcimento
Il progetto di regolamento conferma l’attuale obbligo per gli Stati membri di istituire un’autorità di controllo indipendente a livello nazionale. Punta anche a istituire meccanismi per garantire la coerenza nell’applicazione della normativa sulla protezione dei dati in tutta l’UE. In particolare, nei casi transfrontalieri importanti in cui sono coinvolte diverse autorità di controllo nazionali, si adotterà una decisione di controllo unica. In base a questo principio, noto come sportello unico, una società con controllate in diversi Stati membri dovrà interagire solo con l’autorità preposta alla protezione dei dati nello Stato membro in cui ha lo stabilimento principale.
Il progetto di accordo prevede anche l’istituzione di un comitato europeo per la protezione dei dati, che dovrebbe comprendere rappresentanti di tutte le 28 autorità di controllo indipendenti e sostituire il comitato esistente di cui all’articolo 29.
È riconosciuto il diritto degli interessati di proporre reclamo all’autorità di controllo, nonché il diritto a un ricorso giurisdizionale e il diritto al risarcimento e responsabilità. Al fine di assicurare la prossimità delle persone fisiche nelle decisioni che le riguardano, gli interessati avranno il diritto di ottenere il riesame da parte di un giudice nazionale delle decisioni adottate dalle rispettive autorità preposte alla protezione dei dati. Ciò avverrà a prescindere dallo Stato membro in cui il responsabile del trattamento dei dati è stabilito.
Sono previste sanzioni molto severe nei confronti dei responsabili del trattamento o degli incaricati del trattamento che violano le norme sulla protezione dei dati. I responsabili del trattamento dei dati possono incorrere in sanzioni fino a 20 milioni di EUR o al 4% del loro fatturato globale annuo. Tali sanzioni amministrative verranno imposte dalle autorità nazionali preposte alla protezione dei dati.
Trasferimenti a un paese terzo
La proposta contempla anche il trasferimento di dati personali a paesi terzi e organizzazioni internazionali. A tal fine, essa conferisce alla Commissione la responsabilità di valutare il livello di protezione offerto da un territorio o da un settore di trattamento in un paese terzo. In mancanza di una decisione di adeguatezza della Commissione riguardo a un determinato territorio o settore, il trasferimento di dati personali può comunque avere luogo in casi particolari o quando esistono garanzie adeguate (clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali).
Prossime tappe
Il testo sarà ora presentato ai fini dell’adozione di un accordo politico in una prossima sessione del Consiglio. Dopo l’adozione della posizione del Consiglio in prima lettura, sarà trasmesso al Parlamento per approvazione.
Si prevede che il regolamento entrerà in vigore nella primavera del 2016 e sarà applicabile a partire dalla primavera del 2018.