giovedì 5 maggio 2016

Pubblicato il nuovo Regolamento privacy

Sulla Gazzetta ufficiale della UE è stato pubblicato il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

In realtà è stato pubblicato tutto il "nuovo pacchetto privacy", che include anche 2 Direttive (segnalo che il mese scorso avevo segnalato solo l'approvazione del Regolamento, dimenticandomi delle Direttive; Agostino Oliveri mi ha segnalato l'errore e io mi scuso per l'incompletezza dell'informazione):
  • Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio 
  • Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi.

Qui il link al testo ufficiale, da cui può essere letto in tutte le lingue dell'Unione:
- http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=OJ:L:2016:119:TOC.

Il Regolamento sostituirà quindi il nostro Dlgs 196/2003 (cosiddetto "Codice privacy"). Le Direttive, invece, dovranno essere recepite da nostri Decreti legislativi. Entro il 24 maggio 2018 tutte le aziende dovranno adeguarsi al nuovo Regolamento.

Dovremo quindi vedere, nel futuro, se il Dlgs 196 verrà abrogato totalmente o parzialmente (e quindi, per esempio, se rimarrà in vigore l'Allegato B e altre sue parti non previste dal Regolamento. Dovremo anche vedere come il nostro Garante modificherà o abrogherà i Provvedimenti generali o settoriali emessi negli anni (spero che sarà quanto prima creata una pagina dedicata a questo argomento).

Segnalo alcuni punti a mio parere fondamentali se confrontati a quanto già previsto dal nostro Dlgs 196 del 2003:
  • necessità di minimizzare i dati raccolti e trattati considerando le diverse finalità;
  • inserimento, nell'informativa, dei tempi di conservazione dei dati e diritto all'oblio;
  • diritto di portabilità dei dati;
  • possibilità di certificazioni che possono dimostrare gli obblighi del titolare del trattamento;
  • principi di protezione fin dei dati fin dalla progettazione e di default;
  • nessuna considerazione delle attuali filiere di fornitura "lunghe" (ma questa non è una novità, purtroppo);
  • predisposizione di un "registro dei trattamenti" per molte aziende;
  • comunicazione al Garante da parte di qualunque titolare che subisce delle violazioni dei dati trattati;
  • valutazione degli impatti in caso di specifici trattamenti e condizioni (con indice del rapporto);
  • previsione di un "referente (o responsabile) della protezione dei dati" in casi particolari (che però fa riferimento a "trattamenti di dati sensibili su larga scala", senza specificare cosa "su larga scala" significa).

Segnalo quindi questo articolo (da tweet di @europrivacy) dal titolo "Lack of EU Data Reg Guidance Has Companies Uncertain":
- http://www.bna.com/lack-eu-data-n57982070660/.

Ne approfitto per segnalare questo sito web del CNIL che spiega, per ogni Paese del mondo, le regole da seguire per trasferirvi i dati personali:
- https://www.cnil.fr/en/data-protection-around-the-world.

Qualche mia domanda ironica:
  • fino a che anno leggeremo documenti con scritto "il nuovo Regolamento europeo sulla privacy";
  • fino a che anno leggeremo informative e documenti con riferimento al Dlgs 196/2003 (io ho visto riferimenti alla L. 675/1996, abrogato nel 2003, anche nel 2014).

Non dimentico di ringraziare chi mi ha avvisato della pubblicazione del Regolamento: Fabrizio Bottacin del Politecnico di Milano (che mi ha anche allegato il file in italiano); Biagio Lammoglia (che mi ha inviato i link al "pacchetto privacy" sia in inglese che in italiano); Pierfrancesco Maistrello di Vecomp (che però mi ha fornito il link alla sola versione in italiano) e Pasquale Tarallo (anche lui con la sola versione in italiano). Anche se ho ricevuto la medesima notizia molte volte, mi ha fatto piacere in tutti i casi.

Nessun commento:

Posta un commento