Dati personali: la normativa si fa in due. Prime versioni del nuovo regolamento e della nuova direttiva

Sono apparse le prime versioni dei documenti destinati a ridisegnare il quadro comunitario in materia di data protection.

La prima evidente novità, per altro da tempo oggetto di discussione, è il ricorso allo strumento del regolamento comunitario (General Data Protection Regulation) per la ridefinizione della normativa generale, cui affiancare una direttiva specifica per l’ambito inerente police and criminal justice (Police and Criminal Justice Data Protection Directive). La scelta di ricorrere allo strumento del regolamento trova la sua ragione nella finalità di raggiungere quell’uniformità normativa fra gli stati membri che la dir. 95/46/CE non è riuscita a conseguire (v. considerando n. 11).

Per un’analisi delle novità introdotte si veda il § 3.4 di entrambi i documenti.

I punti di maggior rilievo della bozza di Regolamento risultano in specie i seguenti: ampliamento dell’ambito applicativo, right to be forgotten, portabilità, distribuzione dell’onere probatorio, introduzione di tecniche di privacy by default e di privacy by design, introduzione di tecniche di data protection impact assessment, previsione della figura del data protection officer.

ambito applicativo

Viene confermata l’impostazione secondo cui le norme comunitarie si applicano qualora il trattamento si diretto ad un cittadino residente nell’Unione europea, in tal senso l’art. 2.2. della bozza di Regolamento prevede:

“this Regulation applies to the processing of personal data of data subjects residing in the Union not carried out in the context of the activities of an establishment of a controller in the Union, where the processing activities are directed to such data subjects, or serve to monitor the behaviour of such data subjects”.

Le ragioni di tale scelta sono chiarite nei considerando ove (14) si legge: “In order to ensure that individuals are not deprived of the protection to which they are entitled under this Regulation, the processing of personal data not carried out in the context of the activities of an establishment of a controller in the Union should be subject to the Regulation where the  processing activities are directed to data subjects residing in the Union, or serve monitor the behaviour of such data subjects, including for commercial or professional activities, such as offering products and services”.

In tal contesto si precisa altresì il criterio alla luce del quale poter valutare se il trattamento è posta in essere nell’ambito di un’attività diretta ad un cittadino comunitario: “In order to determine whether a processing activity can be considered to be ‘directed to’ a data subject residing in the Union, it should be ascertained whether it is apparent from the controller’s overall activity that the controller was envisaging processing personal data of data subjects residing in the Union, taking account in particular the international nature of the activities, or use of a language or a currency other than the language or currency generally used in the controller’s country of establishment with the possibility of making and confirming a reservation in that other language, or the use of a top-level domain name other than that of the country in which the controller is established. On the other hand, the mere accessibility of the controller’s website by a data subject residing in the Union is insufficient”.

Nuova figura: il data protection officer

Viene introdotta una nuova figura al fine di rafforzare l’accountability degli autori del trattamento. Correttamente nel prevedere questo nuovo onere si tiene conto sia del profilo di rischio che del dato dimensionale. Cfr. art. 32.1:

“The controller or the processor shall designate a data protection officer in any case where:
(a) the processing is carried out by a public authority or body; or
(b) the processing is carried out by an enterprise employing more than 250 persons permanently; or
(c) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects

Efficacia delle nuove norme

Una volta approvato, il Regolamento diverrà però applicativo solamente dopo due anni dall’entrata in vigore, secondo quanto previsto dai primi due commi dell’art. 91:

“1. This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.

2. It shall apply as from two years from the date referred to in paragraph 1″.

Ulteriori commenti:

Questa voce è stata pubblicata in dati personali, privacy. Contrassegna il permalink.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...