Breve riassunto del GDPR. Prof. Avv. Pierluigi Perri Università degli Studi di Milano

Transcript

1 Breve riassunto del GDPR Prof. Avv. Pierluigi Perri Università degli Studi di Milano

2 I problemi della Direttiva 95/46 La conversione della Direttiva nei singoli Stati membri aveva portato a una frammentazione della disciplina tra i vari Paesi Questa frammentazione si traduceva in problemi applicativi nella circolazione dei beni e dei servizi nell'ue

3 Direttiva vs. Regolamento Direttiva = Una direttiva è un atto legislativo che stabilisce un obiettivo che tutti i paesi dell'ue devono realizzare. Tuttavia, spetta ai singoli paesi definire attraverso disposizioni nazionali come tali obiettivi vadano raggiunti. Un esempio è quello della direttiva sui diritti dei consumatori dell'ue, che rafforza i diritti dei consumatori in tutta l'unione, ad esempio eliminando spese e costi nascosti in Internet, ed estendendo il periodo entro il quale i consumatori possono recedere da un contratto d'acquisto. Regolamento = Un regolamento è un atto legislativo vincolante. Deve essere applicato in tutti i suoi elementi nell'intera Unione europea. Ad esempio, quando l'unione ha deciso che dovevano esservi garanzie comuni sui beni importati dall'esterno dell'ue, il Consiglio ha adottato un regolamento.

4 Obiettivi La Direttiva è lo strumento legislativo che viene adoperato per armonizzare una determinata disciplina tra gli Stati europei, il Regolamento invece è lo strumento adoperato per uniformare una determinata disciplina tra tutti gli Stati membri.

5 Dal Codice Privacy al RGPD

6 Il lento cammino del RGDP 25 GENNAIO 2012: La Commissione UE presenta una proposta di Regolamento Generale sulla protezione dei dati personali che andrà a sostituire la Direttiva 95/46/CE e ad armonizzare la normativa sul trattamento dei dati personali dei singoli Stati membri Fra il 2013 e il 2015 si susseguono le modifiche prima da parte del Parlamento Europeo e del Consiglio e poi si avviano i negoziati alla ricerca di un accordo 15 DICEMBRE 2015: si raggiunge un compromesso tra il Parlamento Europeo e il Consiglio ed inizia il cosiddetto trilogo 17 DICEMBRE 2015: La Commissione LIBE del Parlamento Europeo si dichiara disponibile ad approvare il testo del compromesso senza proprorre emendamenti, salvo una revisione linguistica 6 APRILE 2016: c è un improvvisa accelerazione e viene licenziata una nuova versione del testo che viene immediatamente sottoposta al Consiglio, alla Commissione LIBE e al Parlamento Europeo 14 APRILE 2016: viene approvato il nuovo RGPD Entrata in vigore del Regolamento: 15 giorni dopo la pubblicazione in GUCE Efficacia del Regolamento: 2 anni dopo l entrata in vigore, ovvero il25maggio2018.

7 Efficacia Il regolamento avrà effetto a decorrere dal 25 maggio 2018, data in cui sostituirà l attuale direttiva UE sulla protezione dei dati (95/46/CE), conferendo nuovi diritti alle persone fisiche, estendendo la portata delle responsabilità del titolare e del responsabile del trattamento dei dati e potenziando il regime di applicazione con l introduzione del rischio di sanzioni pari a un massimo del 4% del fatturato globale annuo del soggetto che commette la violazione.

8 I cambiamenti La portata dei cambiamenti previsti è sostanziale, tanto da richiedere un azione tempestiva ai fini di garantire la conformità. Le organizzazioni dovranno adottare un approccio sistematico e coordinato per garantire la conformità di tutte le operazioni europee. Le persone fisiche vedranno i propri diritti alla privacy considerevolmente rafforzati anche in un ottica di protezione del proprio dato personale al di fuori dei confini nazionali.

9 I nuovi adempimenti I cambiamenti chiave comprendono: la necessità di applicare i principi di privacy by design e di privacy by default nei processi di sviluppo e lancio di nuove tecnologie, prodotti, servizi, ecc.; il nuovo obbligo di effettuare il c.d.privacyimpactassessment; i nuovi diritti allaportabilitàdeidati e ildirittoall oblio; il nuovo obbligo di comunicare alle autorità di controllo competenti eventualidatabreach; sanzioni amministrative per inosservanza fino a un massimo di EUR 20 milioni o (se superiore) del 4% del fatturato globale annuo dell organizzazione; norme speciali sullaprofilazione e sull utilizzo dei dati deiminori.

10 Applicabilita L applicazione territoriale del Regolamento è di portata maggiore rispetto alla direttiva, in quanto riguarda non solo le organizzazioni costituite nell Unione europea, ma anche: le persone giuridiche che hanno sede nell Unione europea con riferimento alla propria attività, indipendentemente dal fatto che i dati siano trattati all interno o all esterno dell Unione europea; e le organizzazioni che hanno sede al di fuori dell Unione europea, per quanto concerne l offerta di beni (e servizi) agli interessati che si trovano nell Unione europea o il monitoraggio dei loro comportamenti, nella misura in cui tali comportamenti hanno luogo all interno dell Unione europea.

11 Atti delegati Il Regolamento consente alla Commissione europea e al Comitato europeo per la protezione dei dati di adottare atti delegati e atti di esecuzione in determinati settori. Il Comitato europeo per la protezione dei dati sostituisce il gruppo di lavoro di cui articolo 29.

12 Codici di condotta Quando il Regolamento diventa vincolante, si prevede l elaborazione di codici di condotta e di altre procedure regolamentari di supporto per integrare i requisiti di base del regolamento nel quadro normativo.

13 Esclusioni Alcuni ambiti sono espressamente esclusi dall azione del RGPD, tra cui in particolare: Trattamento di dati personali effettuato dagli Stati membri nell esercizio di attività relative alla politica estera e di sicurezza comune dell UE Trattamento di dati personali da parte delle Autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica Trattamento di dati per attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un attività commerciale o professionale

14 Integrazioni Altri ambiti, invece, saranno oggetto di specifiche regolamentazioni da parte dei legislatori nazionali quali: Trattamento di dati sensibili Trattamento dei dati delle persone decedute Trattamento di dati personali per scopi giornalistici o di espressione del pensiero Poteri del Garante di intentare un azione o agire in sede giudiziale in caso di violazione del RGPD

15 Transizione Si attendono ancora diversi interventi di armonizzazione, che riguarderanno in particolare: i Provvedimenti emanati dall Autorità Garante, quantomeno per le materie non disciplinate dal Regolamento la normativa di dettaglio su singoli aspetti del trattamento di dati personali (ad es. le sanzioni penali connesse al trattamento, il trattamento dei dati personali dei dipendenti nel rapporto di lavoro, le norme sul trattamento di dati personali da parte di categorie soggette al segreto professionale)

16 Compiti della Commissione UE Sempre nei prossimi anni, la Commissione UE dovrà emanare delle norme in ordine a: privacyicons per le informative semplificate clausole contrattuali standard per il subappalto nel trattamento dei dati personali meccanismi di certificazione della protezione dei dati procedura per la mutua assistenza tra le Autorità Garanti europee e tra Autorità Garanti e Comitato europeo per la protezione dei dati

17 Dalladata protection alladata governance Si passa da un idea di protezione del dato a un idea digoverno del dato. Ogni scelta in tema di trattamento e di sicurezza deve nascere da un analisi della realtà specifica della propria azienda o P.A. Ogni scelta fatta deve poi essere verificata nel tempo per validare la permanenza della sua efficacia. Centralità dell accountability del titolare del trattamento.