OSSERVATORIO SULLA PRIVACY a cura di Jones Day

Il Regolamento in materia di "Tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati"

| 13 gennaio 2015


Finalmente ci siamo. Dopo quasi 3 anni di gestazione, dovrebbe a breve vedere la luce il tanto atteso Regolamento in materia di "Tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati".
Il nuovo Regolamento avrà, in quanto tale, immediata e diretta applicazione in ciascuno dei 28 Stati membri senza necessità di ulteriori trasposizioni interne ed assicurerà un'uniformità di diritto in tutta Europa.
Le nuove disposizioni, destinate tra l'altro a "travolgere" la direttiva di riferimento attualmente in vigore (la n. 95/46/CE) e le singole leggi nazionali di recepimento, non entreranno tuttavia immediatamente in vigore. E' previsto infatti un periodo transitorio di 2 anni nel corso dei quali continueranno a valere le attuali disposizioni di legge (europee e nazionali).
Tra le novità di rilievo vi è il passaggio da un sistema formalistico ad un sistema di alta responsabilizzazione sostanziale. Il soggetto (è il "titolare"), al quale competono le decisioni sulle finalità, le modalità e le misure di sicurezza applicabili al trattamento dati, dovrà infatti valutare l'impatto dei trattamenti sui dati personali, stabilire verifiche periodiche, assicurare ogni tempestivo aggiornamento e la messa a disposizione della documentazione alle autorità di controllo ("privacy impact assessment").
Ancora, il titolare dovrà implementare meccanismi di audit che assicurino la verifica dell'efficacia delle misure adottate eventualmente designando un responsabile della protezione dei dati (è il "privacy officer"), porre in essere meccanismi con l'obiettivo di effettuare un trattamento dei dati limitato alle finalità specifiche ("privacy by default") e incorporare la privacy direttamente nella progettazione dei processi aziendali e dei sistemi IT ("privacy by design"). Infine, sulla scia della decisione della Corte di Giustizia resa in una nota pronuncia del maggio 2014 (caso Google Spain SL, Google Inc. / Agencia Española de Protección de Datos) è stato introdotto il "diritto all'oblio", ovverossia il diritto dell'utente ad ottenere la cancellazione dei dati personali non più pertinenti ed aggiornati che lo riguardano.
Novità assoluta è inoltre il principio del "one stop shop" (o "sportello unico"), destinato a trovare applicazione nei casi di trattamenti dati effettuati da parte di più imprese basate in diversi Stati membri ovvero concernenti dati personali di residenti in più Stati membri, con potenziale applicazione quindi anche a società non residenti nell'Unione Europea.
In tali ipotesi, le società appartenenti al medesimo gruppo saranno sottoposte alla vigilanza di una unica autorità, denominata "autorità capofila", coincidente con l'autorità competente dello "stabilimento principale" del titolare. "Stabilimento principale" è il luogo in cui sono adottate le principali decisioni su finalità, condizioni e mezzi del trattamento dei dati personali. La proposta indica anche alcuni criteri oggettivi da prendere in considerazione quali l'ubicazione della sede centrale, l'ubicazione dell'entità all'interno del gruppo di imprese che si trova nella posizione migliore (in termini di funzione di gestione e responsabilità amministrativa) per consentire l'applicazione del Regolamento e il luogo in cui avviene l'effettivo e reale svolgimento delle attività di gestione finalizzate a determinare il trattamento dei dati nel quadro di un'organizzazione stabile. E' evidente pertanto che il luogo di reale e concreto svolgimento della gestione dati avrà una rilevanza cruciale.
In caso di incertezze circa l'identificazione dell'autorità capofila perché, ad esempio, non risulti chiara l'ubicazione della sede principale, ovvero perché le autorità competenti non concordino su quale autorità di controllo debba fungere da autorità capofila ovvero perché il titolare non è stabilito nell'Unione, sarà chiamato ad esprimersi il Comitato Europeo per la protezione dei dati.
L'autorità capofila ha poteri di controllo, si coordina con le Authority degli altri Stati coinvolti ed è l'unico soggetto autorizzato ad applicare misure aventi effetti giuridici rispetto alle attività di trattamento.
La nuova disciplina avrà un forte impatto sui gruppi di impresa transfrontalieri che, fino ad oggi, hanno dovuto interloquire con le diverse autorità locali competenti ed affrontare vari problemi quali quelli legati all'incertezza giuridica ed alla possibilità di disparità di trattamento che, in definitiva, potevano tradursi in un disincentivo alla prestazione dei servizi transfrontalieri anche all'interno dell'Unione Europea. Il nuovo principio dovrebbe quindi, sulla carta, costituire una risposta ai problemi sopramenzionati, ma occorrerà attendere l'entrata in vigore del Regolamento per verificare come al principio del "one stop shop" sarà data effettiva e concreta attuazione.