Verso il nuovo Regolamento Privacy

di Anna Fabi

Pubblicato 15 Febbraio 2016
Aggiornato 19 Gennaio 2018 12:49

Il Gruppo di Lavoro Articolo 29 traccia l’orizzonte in materia di trattamento dei dati personali alla luce del nuovo Regolamento UE: piano d'azione e settori di intervento.

Il Gruppo di Lavoro Articolo 29 (WP29) ha reso pubblico il piano d’azione per la transizione verso il nuovo quadro normativo dettato dal Regolamento Generale sulla Protezione dei Dati (GDPR), il cui fine è aprire la strada a un nuovo modello di governance coinvolgendo direttamente le Autorità Garanti (poteri più rilevanti e collaborazione a livello europeo) e il Supervisore Europeo della Protezione dei Dati Personali, con un inevitabile impatto sul modo di gestire la privacy in azienda.

=> Il nuovo regolamento UE sulla Privacy in azienda

Il Gruppo di Garanti pone l’accento sulla necessità di delineare un percorso volto a rendere effettiva la creazione del c.d. one-stop-shop (cioè lo sportello unico cui dovrebbero far riferimento le aziende) e varare nuove linee guida per titolari e responsabili del trattamento dei dati, incentrate su:

  • Nuovi diritti in materia di portabilità dei dati;
  • Definizione di rischio elevato e valutazione di impatto sulla protezione dei dati (DPIA);
  • Certificazione;
  • Data Protection Officer.

Già da questo emerge quanto inciderà il GDPR sulla gestione dell’attività aziendali, per la cui efficacia occorrerà anche ricorrere a “specialisti” della tutela dei dati. Circostanza ancor più evidente se si prende in considerazione il Programma di lavoro 2016–2018 che accompagna la dichiarazione, articolato in sottogruppi:

  1. Futuro e Privacy;
  2. Tecnologia;
  3. Trasferimenti internazionali;
  4. Frontiere Viaggi, e Forze dell’Ordine;
  5. E-Government;
  6. Questioni Finanziarie;
  7. Cooperazione.

Nei prossimi due anni, ogni sottogruppo di lavoro rilascerà linee guida, strumenti e procedure per indirizzare tutti i soggetti interessati verso la corretta e coerente applicazione del nuovo quadro normativo.
Inoltre, ciascuno secondo le proprie competenze, valuterà la necessità di aggiornare o rinnovare i Pareri emessi in questi anni alla luce del Regolamento.

=> Impatto sulle aziende del nuovo Regolamento Privacy

Futuro della privacy

Il sottogruppo lavorerà per preparare, gestire e monitorare il nuovo modello di governance, definendo anche nuovi strumenti e linee guida. Esaminerà le questioni relative a dati personali, consenso, titolare, responsabile, legge applicabile, limitazione delle finalità o interessi legittimi. Il sottogruppo avrà la fondamentale funzione di lavorare sull’interpretazione dei concetti chiave del nuovo quadro giuridico.

Tecnologia

Il sottogruppo continuerà a lavorare, insieme ad altri sottogruppi, su: standard per il non tracciamento, portabilità dei dati, analisi della localizzazione Wi-Fi e bluetooth, livello minimo di specifiche tecniche da adottare, voto elettronico, monitoraggio elettronico dei dipendenti, semplificazione e individuazione di strumenti per l’applicazione omogenea della normativa privacy in materia di informative e consenso nell’utilizzo dei dispositivi intelligenti, Direttiva E-privacy, mercato unico digitale, valutazioni di impatto sulla protezione dei dati e valutazioni di impatto in relazione alle violazioni.

Trasferimenti internazionali

La sentenza della Corte Europea sul caso Schrems vs Facebook ha evidenziato nodi cruciali da sciogliere. Il sottogruppo è stato incaricato di analizzare le conseguenze della sentenza sugli strumenti di trasferimento dati (es.: Clausole contrattuali tipo BCR, clausole ad hoc, altre decisioni di adeguatezza) ed eventuali deroghe. Ovviamente, analizzerà e esprimerà un parere sul Privacy Shiled non appena sarà rilasciato.

Frontiere, Viaggi e Forze dell’Ordine

Il sottogruppo proseguirà i lavori sui seguenti argomenti: Direttiva di polizia e giustizia, PNR, Programma di tracciamento finanziario dei terroristi, conservazione dei dati, intercettazioni transatlantiche, Convenzione sulla criminalità informatica, proposte formulate dalla Commissione dell’Agenda Europea per la Sicurezza tendo conto delle conseguenze della sentenza della Corte Europea che ha invalidato il Safe Harbor, l’analisi delle leggi in materia di sorveglianza dell’UE e degli Stati Uniti. Analizzerà anche varie proposte legislative: il pacchetto sulle frontiere intelligenti, il c.d. Umbrella Agreement tra UE-USA, la proposta di un Sistema europeo per l’indicizzazione delle registrazioni eseguite dalla di Polizia, le nuove proposte di lotta al terrorismo, ecc.

E-government

Il sottogruppo proseguirà i lavori sui seguenti temi: gli atti di esecuzione del Regolamento sul servizi identificazione elettronica e del sistema di fiducia in relazione alle transazioni elettroniche nel mercato interno, l’utilizzo nel settore pubblico delle applicazioni mobile, il cloud per i servizi di e-Government, il Codice di condotta per un network di Istruzione e Ricerca, la pubblicazione on-line dei dati personali dei funzionari di governo, il voto elettronico ed il mercato unico digitale, la sanità elettronica.

Questioni finanziarie

Il sottogruppo si occuperà di: scambio automatico di dati a fini fiscali, standard OCSE, FATCA, implicazioni sulla protezione dei dati in relazione alla International Organisation of Securities Commissions and Multilateral Memorandum of Understanding in riferimento alla cooperazione e allo scambio di informazioni, le implicazioni sulla protezione dei dati della direttiva 2014/65/UE (la cosiddetta “MIFID2”) e del regolamento (UE) 600/2014 (cosiddetto “MAR”). Il sottogruppo analizzerà anche le questioni relative all’enorme utilizzo da parte delle banche dei dati relativi ai propri clienti per il profiling commerciale.

Cooperazione

Il sottogruppo sarà, tra l’altro, coinvolto nell’analisi delle conseguenze della sentenza della Corte “Schrems contro Facebook”, nonché delle azioni coordinate per gestire i reclami e di organizzare operazioni di controllo. Infine, il sottogruppo lavorerà su strumenti comuni e moduli standard per l’attuazione del regolamento in un modo.

Il lavoro da fare è dunque moltissimo, ma questo non fa che confermare a tutti gli operatori (a cominciare dalle imprese) che all’orizzonte si staglia una normativa che inciderà in maniera determinate il modo di erogare servizi, produrre beni, amministrare e governare il settore privato nonché quello pubblico. Serve arrivare preparati.

_________

Avv. Emiliano Vitelli (vice presidente Centro Europeo Privacy)