Il 24 maggio 2016 è entrato in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali, 2016/679, noto come GDPR (General Data Protection Regulation). Il testo è pplicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
Nasce un nuovo concetto di privacy.
La tecnologia ha trasformato la società e con essa è cambiato il concetto di “privacy”: da diritto “a essere lasciato solo” (right to be let alone) è arrivato a indicare il “diritto al controllo sui propri dati personali”. Le evoluzioni normative riguardanti la privacy hanno imposto l’adozione di cautele giuridiche, tecniche ed organizzative necessarie per procedere in maniera corretta al trattamento dei dati personali. Con il GDPR la normativa in materia di protezione dei dati personali assume un ruolo determinante per l’adozione di qualsiasi attività e decisione da parte di soggetti economici e pubblici che implichi un trattamento di dati personali.
Il Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, da applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali (art. 2 e Considerando 15).
Comitato europeo per la protezione dei dati
È un organismo dell’UE incaricato dell’applicazione del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018. L’EDPB è un organismo indipendente che:
- assicura che il diritto dell’UE in questo settore – in particolare il regolamento generale sulla protezione dei dati (RGPD) e la direttiva sulla protezione dei dati nell’ambito delle attività di contrasto – sia applicato in modo coerente in tutti i paesi che ne sono coperti
- promuove la cooperazione fra le autorità nazionali preposte alla protezione dei dati
Chi fa parte dell’EDPB?
- Un presidente e due vicepresidenti, nominati per un mandato rinnovabile di 5 anni.
- Ogni autorità nazionale preposta alla protezione dei dati e il garante europeo della protezione dei dati (GEPD).
Cosa fa l’EDPB?
- fornisce una guida generale (compresi orientamenti, raccomandazioni e migliori pratiche) per chiarire l’RGPD
- adotta conclusioni coerenti , volte a garantire che l’RGPD sia interpretato in modo coerente da tutti gli organismi di regolamentazione nazionali, ad esempio nei casi riguardanti due o più paesi
- fornisce consulenze alla Commissione europea sulle questioni riguardanti la protezione dei dati e qualsiasi nuova normativa dell’UE di particolare importanza per la protezione dei dati personali
- incoraggia le autorità nazionali preposte alla protezione dei dati a collaborare e condividere informazioni e migliori pratiche.
Applicazione Territoriale
Applicazione territoriale (art.3) Il regolamento si applica – ai soggetti stabiliti sul territorio comunitario:
- sia che trattino i dati all’interno del territorio comunitario
- sia che li trattino fuori dal territorio comunitario
– ai soggetti stabiliti al di fuori del territorio comunitario quando il trattamento riguarda:
- l’offerta di beni e servizi per soggetti residenti nell’UE
- il monitoraggio del comportamento dei cittadini dell’UE
Ne consegue che le aziende che oggi non sono soggetti alla applicazione della dir 95/46/CEE dovranno invece ottemperare agli obblighi del Regegolamento 679/2016.
Autorità di controllo Capofila
Le disposizioni sui meccanismi amministrativi della protezione dei dati nell’Ue sono fissate nei Capi VI e VII del regolamento 2016/679. Il Capo VI, in particolare, prevede la costituzione di un’”autorità di controllo” in ciascuno Stato membro (rinviando al legislatore nazionale la definizione delle modalità di nomina dei componenti e l’attribuzione di idonee risorse), fissa identici compiti e poteri per le autorità (artt. 57 e 58) in tutti i Paesi Ue e introduce (art. 56) la nozione di “autorità di controllo capofila”. L’autorità di controllo capofila è, in sintesi, l’autorità dello stabilimento principale o unico nell’Ue del titolare o responsabile del trattamento, alla quale viene trasferita la competenza da tutte le altre autorità di controllo (definite, in questo caso, “autorità interessate”) per quanto riguarda i “trattamenti transfrontalieri” di dati personali svolti da quel titolare o responsabile. Le definizioni di “stabilimento principale” e “trattamento transfrontaliero” sono contenute all’art. 4(16) e (23), rispettivamente; anche il concetto di “autorità di controllo interessata” trova definizione all’art. 4 (punto 22) del regolamento. L’obiettivo della devoluzione di competenze a favore dell’autorità capofila è garantire l’esistenza di uno “sportello unico” per i trattamenti transfrontalieri di dati personali: principio sancito dal paragrafo 6 dell’art. 56 (“L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile“). Occorre ricordare, tuttavia, che il regolamento stesso prevede alcune eccezioni: l’autorità di controllo che riceve un reclamo (e quindi è, per definizione, un’autorità “interessata”) può infatti far valere il carattere esclusivamente locale del caso e chiedere all’autorità capofila di rinunciare alla propria competenza (“se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”): v. art. 56, paragrafo 2. La cooperazione fra l’autorità capofila e le altre autorità, ma anche fra le autorità di controllo in generale, è disciplinata nel Capo VII del regolamento, che ha per oggetto appunto “Cooperazione e coerenza”. In particolare, il meccanismo decisionale nei casi di trattamento transfrontaliero (detto “sportello unico”, poiché il titolare o il responsabile potrà rivolgersi alla sola autorità di controllo capofila) è regolato dall’art. 60 del regolamento. Si tratta di un meccanismo di co-decisione, in cui l’autorità capofila è competente a emanare la (unica) decisione finale, ma è obbligata a interpellare tutte le autorità interessate prima di assumere qualsiasi provvedimento che riguardi un titolare o responsabile, e nel farlo deve tenere conto delle “obiezioni pertinenti e motivate” che le autorità interessate possono sollevare sul progetto di decisione o parere fatto circolare dall’autorità capofila, secondo una tempistica molto stretta. L’autorità capofila può, in ogni momento, respingere le obiezioni formulate dalle autorità interessate e adire il Comitato europeo per la protezione dei dati (il “Board”) che decide secondo la procedura di cui all’art. 65, ma solo sulla “obiezione pertinente e motivata” – qualunque ne sia l’oggetto. La decisione del Comitato è vincolante per l’autorità capofila e le autorità interessate. Le Linee-guida del WP29 sulla “autorità di controllo capofila” intendono chiarire i criteri che i titolari di trattamento (e anche le autorità di controllo) utilizzeranno per individuare correttamente la propria autorità capofila, rispetto ai trattamenti transfrontalieri di dati personali, e illustrano in concreto il funzionamento del meccanismo di “sportello unico”.