La Nuova Privacy Europea

Portabilità del dato, obbligo per le Aziende di nominare un “Data Protection Officer” e di redigere un “Privacy Impact Assessment”, queste alcune tra le più rilevanti novità della privacy prossima (e dietro l’angolo) che maggiormente andranno ad impattare sui Modelli privacy  adottati in Azienda. 

Ma diamo un’occhiata più da vicino.

Il 25 gennaio 2012 la Commissione europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di protezione dei dati. Si tratta di un Regolamento, che andrà a sostituire la vecchia direttiva 95/46/CE, e di una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).

Sul sito della Direzione Generale “Giustizia”  sono raccolte tutte le informazioni e la documentazione pertinenti: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm.

Va ricordato che i Regolamenti UE sono immediatamente esecutivi, non necessitando di recepimento da parte degli Stati membri, a differenza delle direttive. Per lo stesso motivo essi possono garantire una maggiore armonizzazione a livello dell’intera UE. 

 

Il Regolamento

Queste, in sintesi, alcune tra le maggiori novità della proposta di Regolamento:

  • restano ferme le definizioni fondamentali, ma con alcune significative aggiunte (dato genetico, dato biometrico);
  • viene introdotto l’obbligo di nominare un “data protection officer” (incaricato della protezione dati, secondo la terminologia della direttiva 95/46) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti, mentre scompare l’obbligo per i titolari di notificare i trattamenti di dati personali;
  • viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;
  • si stabilisce il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il “diritto all’oblio”, ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca storica);
  • viene introdotto il requisito del “privacy impact assessment” (valutazione dell’impatto-privacy) oltre al principio generale detto “privacy by design” (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software);
  • si stabilisce l’obbligo per tutti i titolari di notificare all’autorità competente le violazioni dei dati personali (“personal data breaches”);
  • si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.

 

La Direttiva

Per quanto riguarda la proposta di Direttiva, essa sostituirà, una volta adottata, la Decisione-Quadro (la 2008/977/GAI) attualmente in vigore che disciplina i trattamenti di dati da parte delle autorità giudiziarie e di polizia.

Va sottolineato che le disposizioni della Direttiva si applicheranno, in via generale, a tutti i trattamenti di dati personali svolti in uno Stato Membro per tali finalità “istituzionali”, mentre la Decisione-Quadro disciplina esclusivamente lo scambio di dati fra autorità competenti degli Stati Membri ed il trattamento successivo dei dati scambiati in tale contesto.

La Direttiva riprende l’impostazione del Regolamento che richiama in molte delle sue previsioni, a cominciare dalle definizioni di interessato, dato personale, trattamento, titolare del trattamento ecc.. Essa  contiene, tuttavia, disposizioni specifiche sulle responsabilità dei titolari e sugli obblighi che ad essi incombono in materia di trasparenza ed accesso, e fissa i criteri di legittimità dei trattamenti in oggetto nonché i meccanismi di mutua cooperazione e i poteri delle autorità nazionali di controllo. Come già ricordato, le sue disposizioni dovranno essere recepite attraverso apposite norme nazionali.

L’iter per l’approvazione definitiva dei due strumenti normativi proposti comporterà l’intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di “codecisione” (ora definita dal Trattato di Lisbona “procedura legislativa”).

 

Annunci

Unione Europea: la Privacy che verrà

Il 25 gennaio, la signora Viviane Reding, vicepresidente della Commissione europea, ha presentato la Privacy che verrà all’interno dell’Unione Europea entro la fine del 2014.

Gli aspetti chiave del Progetto di Regolamento sono:

Più diritti per gli Interessati

  • Ogni volta che è previsto il consenso per il trattamento, questo dovrà essere fornito espressamente, piuttosto che presunto.
  • Gli Interessati avranno un “diritto alla portabilità dei dati“, che consentirà loro di trasferire i dati personali da un fornitore di servizi ad un altro più facilmente.
  • Agli Interessati sarà riconosciuto un “diritto all’oblio“, che permetterà loro di ottenere la cancellazione dei dati presenti online se non vi sono motivi legittimi per il loro mantenimento (salvo eccezioni).
  • Gli Interessati potranno rivolgersi al Garante Privacy del proprio Paese di residenza, anche quando i loro dati sono trattati da una società con sede al di fuori dell’UE.

Maggiori obblighi e responsabilità per i Titolari di trattamento

  • Ai Titolari  sarò richiesto di realizzare un vero e proprio Privacy Impact Assessment (una versione evoluta dell’attuale DPS);
  • I Titolari saranno tenuti a comunicare all’autorità di controllo nazionale le violazioni alla sicurezza dei dati, se possibile entro 24 ore, e se la violazione possa ripercuotersi negativamente sulla tutela dei dati personali o la vita privata degli Interessati;  il Titolare sarà, inoltre, tenuto a comunicare la violazione di dati personali agli interessati, senza ritardo.
  • I Titolari di trattamento avranno  a che fare con una singola autorità nazionale di protezione dei dati nel paese dell’UE in cui hanno la sede principale.

Sanzioni inasprite

  • Per violazione della normativa sul trattamento dei dati personali, i Titolari saranno esposti a sanzioni fino a € 1 milioni di euro o al 2% del fatturato globale annuo della Società.

Il nuovo Regolamento Privacy entrerà in vigore due anni dopo la sua adozione, verosimilmente entro la fine del 2014.

Azione della Commissione europea contro l’Italia sull’uso delle banche dati per le televendite

Lo scorso 28 gennaio, La Commissione europea ha avviato un procedimento giudiziario nei confronti dell’talia per mancata osservanza delle norme europee in materia di vita privata e comunicazioni elettroniche (ePrivacy).

In base alla normativa europea gli Stati membri hanno l’obbligo di garantire che:

  • gli abbonati i cui nominativi figurano in un elenco pubblico siano informati sugli scopi dell’elenco e che
  • l’uso a fini commerciali dei dati personali ivi contenuti sia subordinato al loro consenso.

Poiché l’Italia è venuta meno a tale obbligo, la Commissione ha deciso di inviarle una lettera di costituzione in mora (si tratta della prima fase di un procedimento di infrazione).

Nella moderna società digitale è essenziale il pieno rispetto della vita privata degli utenti dei servizi di telecomunicazioni” ha affermato Viviane Reding, commissaria europea alle telecomunicazioni. “La direttiva europea sulla tutela della vita privata nel settore delle comunicazioni elettroniche (ePrivacy) offre ai cittadini una serie di strumenti per proteggere la privacy e i dati personali. È preoccupante constatare che non solo l’Italia non ha recepito nel proprio ordinamento interno le disposizioni previste dalla direttiva sulla ePrivacy, ma anche che le autorità italiane hanno prorogato la possibilità di usare banche dati contenenti dati personali di cui non è stato consentito l’utilizzo. È nostro compito garantire che tutti gli Stati membri rispettino le norme comunitarie, in modo che i cittadini si sentano sicuri nel mercato unico delle telecomunicazioni e siano informati dell’uso che viene fatto dei loro dati personali.”

In Italia sono state costituite banche dati per le televendite ricavate da elenchi pubblici di abbonati senza che gli interessati abbiano acconsentito esplicitamente all’uso di queste informazioni. L’uso di queste banche dati era autorizzato fino al 31 dicembre 2009 dalla legge italiana n.14 del 27 febbraio 2009 ed è stato prorogato di ulteriori sei mesi. Stando alle informazioni in possesso della Commissione, gli interessati:

  • non sono stati informati né del trasferimento dei loro dati da elenchi telefonici a banche dati costituite a fini commerciali,
  • né hanno acconsentito all’inserimento dei loro dati personali in tali database.

La Commissione si interroga inoltre sull’effettiva e corretta applicazione delle nuove disposizioni italiane che permettono agli abbonati di non acconsentire all’uso dei dati che li riguardano.

L ‘Italia dispone di due mesi per rispondere alla lettera di costituzione in mora (la prima fase del procedimento di infrazione) che la Commissione ha deciso di inviare oggi. In assenza di risposta o se le osservazioni presentate dall’Italia non saranno soddisfacenti, la Commissione potrà decidere di formulare un parere motivato (seconda fase di un procedimento d’infrazione). Se nemmeno in questo caso l’Italia dovesse ottemperare agli obblighi che le incombono in virtù del diritto dell’Unione europea, la Commissione potrà adire la Corte di giustizia.

Contesto

La direttiva europea sulla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva 2002/58/CE) fa obbligo agli Stati membri di garantire che, prima di essere inseriti in un elenco pubblico, gli abbonati siano informati degli scopi dell’elenco e di qualsiasi uso che potrà esserne fatto. Gli Stati membri hanno l’obbligo di garantire che gli abbonati possano decidere se permettere che i loro dati personali siano inseriti in un elenco pubblico e in che misura i loro dati siano pertinenti per gli scopi di tale elenco. Gli Stati membri devono anche vietare che siano inviate comunicazioni indesiderate, a scopo di commercializzazione diretta, senza il consenso degli abbonati. L’ordinamento interno degli Stati membri può scegliere tra le varie opzioni, ma deve garantire agli abbonati la possibilità di acconsentire o meno all’uso dei loro dati.

Un riepilogo dettagliato dei procedimenti di infrazione in materia di telecomunicazioni è disponibile sul sito:

http://ec.europa.eu/information_society/policy/ecomm/implementation_enforcement/infringement/

Privacy e UE: una ferma e lucida vigilanza

Privacy by Design, Body Scanner, Social Network

questi i punti chiavi del keynote di Viviane Reding, Commissario europeo incaricato della società dell’informazione e dei media, durante il Data Protection Day del 28 gennaio scorso al Parlamento Europeo di Bruxelles, la quale, ribadendo il fermo impegno delle Istituzioni europee nella difesa della privacy dei propri cittadini, riporta alcuni tra i suoi più recenti interventi nella veste di Commissario per la Società dell’Informazione.

  • Facebook, MySpace, Twitter: va garantita una maggiore tutela dei minori under 18 attraverso l’impostazione “privata” di default dei loro profili che, quindi, non compaiono nei motori di ricerca.
  • Behavioural Advertising (il monitoraggio della navigazione web degli utenti per fini pubblicitari): la Commissione ha avviato una procedura di infrazione nel c.d. Phorm case. Viene ribadito il principio secondo il quale senza un preventivo consenso informato degli utenti, i loro dati personali non possono essere usati.
  • Riforma delle Telecomunicazioni: l’emendamento proposto dalla Commissione alla ePrivacy Directive prevede una maggiore trasparenza e un controllo più incisivo da parte dei Cittadini dell’Unione: i Providers devono segnalare ogni violazione dei dati personali sia alle competenti autorità sia alle persone coinvolte senza ulteriore ritardo.

Il Commissario, quindi, ricorda uno dei punti chiave della normative europea sulla protezione dei dati personali, ovvero il c.d. Principio di necessità (V. art.3 Dlgs 196/2003): le imprese devono utilizzare il loro potere innovativo e di sviluppo nel migliorare la protezione della privacy sin dall’inizio del ciclo di sviluppo di ogni progetto.

Arriva, quindi, ad un nuovo importantissimo principio, il Privacy by Design, secondo il quale il rispetto della privacy non può essere garantito solo dalla normativa, piuttosto deve diventare un modo di operare di default di ogni organizzazione. Il Privacy by Design  è pertanto uno strumento che può aumentare la fiducia dei consumatori sia in servizi che prodotti e, quindi, avere un impatto positivo sull’intera economia.

La Reding affronta poi la riforma della Direttiva sui Dati Personali garantendo che le risposte alle oltre 160 consultazioni pubbliche saranno in linea sia col Trattato di Lisbona che con la Carta dei Diritti Fondamentali.Le sfide principali che si presentano sono:

  • chiarire l’applicazione di alcuni regole chiave come consenso e trasparenza
  • assicurare la protezione dei dati personali a prescindere dallo stabilimento del Titolare del trattamento
  • promuovere le PET’s attraverso l’introduzione di nuovi principi come la “Privacy by Design”

Il Commissario ribadisce che la protezione dei dati personali deve essere assicurata anche nelle piccole operazioni quotidiane, tipo il trasferimento di denaro, la prenotazione di un volo o il passaggio attraverso il controllo sicurezza in aeroporto.

Body scanner: perché i Cittadini dovrebbero mostrare proprie informazioni personali per dimostrare di non avere nulla da nascondere? La Reding ritiene che i body scanner siano troppo invasivi e la loro effettiva utilità sia tutta da dimostrare.

Stesso principio per l’enorme mole di nostri dati finanziari trasmessi agli Stati Uniti: sono effettivamente necessari, proporzionati ed utili, tutti gli SWIFT trasmessi oltreoceano per finalità di lotta al terrorismo?

Al Commissario Reding il nostro augurio di buon lavoro.