Garante per la protezione
    dei dati personali


PRESENTATA LA PROPOSTADI NUOVA NORMATIVA UE SULLA PROTEZIONE DEI DATI PERSONALI

Il 25 gennaio la Commissione europea ha presentato ufficialmente leproposte relative al nuovo quadro giuridico europeo in materia di protezionedei dati. Si tratta di un Regolamento, che andrà a sostituire la direttiva 95/46/CE, e di una Direttiva chedovrà disciplinare i trattamenti per finalità di giustizia e di polizia(attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).

Sul sito della Direzione Generale "Giustizia"  sonoraccolte tutte le informazioni e la documentazione pertinenti: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm.

Va ricordato che i regolamenti UE sono immediatamente esecutivi, nonnecessitando di recepimento da parte degli Stati membri, a differenza delledirettive. Per lo stesso motivo essi possono garantire una maggiorearmonizzazione a livello dell'intera UE. 

Queste, in sintesi, le maggiori novità della proposta di Regolamento:

* restano ferme le definizioni fondamentali, ma con alcunesignificative aggiunte (dato genetico, dato biometrico);

* viene introdotto il principio dell'applicazione del diritto UEanche ai trattamenti di dati personali non svolti nell'UE, se relativiall'offerta di beni o servizi a cittadini UE o tali da consentire ilmonitoraggio dei comportamenti di cittadini UE;

* si stabilisce il diritto degli interessati alla"portabilità del dato" (ad. es. nel caso in cui si intendessetrasferire i propri dati da un social network ad un altro);

* scompare l'obbligo per i titolari di notificare i trattamentidi dati personali, sostituito da quello di nominare un "data protectionofficer" (incaricato della protezione dati, secondo la terminologia delladirettiva 95/46) per tutti i soggetti pubblici e per quelli privati al di sopradi un certo numero di dipendenti;

* viene introdotto il requisito del "privacy impactassessment" (valutazione dell'impatto-privacy) oltre al principio generaledetto "privacy by design" (cioà la previsione di misure a protezionedei dati già al momento della progettazione di un prodotto o di un software);

* si stabilisce l'obbligo per tutti i titolari di notificareall'autorità competente le violazioni dei dati personali ("personal databreaches");

* si fissano più specificamente poteri (anche sanzionatori) erequisiti di indipendenza delle autorità nazionali di controllo, il cui pareresarà indispensabile qualora si intendano adottare strumenti normativi, compresele leggi, che impattino sulla protezione dei dati personali.

Per quanto riguarda la proposta di Direttiva, essa sostituirà, unavolta adottata, la Decisione-Quadro (la 2008/977/GAI) attualmentein vigore che disciplina i trattamenti di dati da parte delle autoritàgiudiziarie e di polizia. Va sottolineato che le disposizioni della Direttivasi applicheranno, in via generale, a tutti i trattamenti di dati personalisvolti in uno Stato Membro per tali finalità "istituzionali", mentrela Decisione-Quadro disciplina esclusivamente lo scambio di dati fra autoritàcompetenti degli Stati Membri ed il trattamento successivo dei dati scambiatiin tale contesto.

La Direttiva riprende l'impostazione del Regolamento che richiama inmolte delle sue previsioni, a cominciare dalle definizioni di interessato, datopersonale, trattamento, titolare del trattamento ecc.. Essa  contiene,tuttavia, disposizioni specifiche sulle responsabilità dei titolari e sugliobblighi che ad essi incombono in materia di trasparenza ed accesso, e fissa icriteri di legittimità dei trattamenti in oggetto nonché i meccanismi di mutuacooperazione e i poteri delle autorità nazionali di controllo. Come giàricordato, le sue disposizioni dovranno essere recepite attraverso appositenorme nazionali.

L'iter per l'approvazione definitiva dei duestrumenti normativi proposti comporterà l'intervento congiunto di Parlamentoeuropeo e Consiglio UE in base alla procedura detta di "codecisione"(ora definita dal Trattato di Lisbona "procedura legislativa").