Regolamento generale sulla protezione dei dati

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search
Regolamento generale sulla protezione dei dati
Titolo estesoRegolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio

del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla

protezione dei dati)
StatoUnione europea Unione europea
Date fondamentali
Testo
Rimando al testohttp://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679

Il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy.

Con questo regolamento, la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione europea e dei residenti nell'Unione europea, sia all'interno che all'esterno dei confini dell'Unione europea (UE).

Il testo, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, ha iniziato ad avere definitivamente efficacia il 25 maggio 2018.

Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'Unione europea) che trattano dati di residenti nell'Unione europea ad osservare e adempiere agli obblighi previsti. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l'UE.[1] Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE)[2] e, in Italia, ha abrogato le norme del codice per la protezione dei dati personali (d. lgs. n. 196/2003) con esso incompatibili. Tramite un'altra Direttiva collegata, la UE 2016/680, in aggiunta a questo nuovo regolamento, sarà applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell'Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell'istituto della direttiva europea tali trattamenti dei dati (Autorità Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale .[3]

[modifica | modifica wikitesto]

"Il regime di protezione dei dati proposto per l'UE estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che trattano dati di residenti europei a prescindere dal luogo nel quale le trattano e dalla loro sede legale. Permette di armonizzare le diverse normative sulla protezione dei dati in tutta l'UE, facilitando così l'osservanza delle norme da parte delle imprese non europee; tuttavia, questo è stato ottenuto a costo di un regime che prevede una severa disciplina di protezione dei dati, con rigide sanzioni che possono raggiungere il 4% del volume globale di affari."[4] A seguito di negoziazioni nel dialogo a tre tra Parlamento Europeo, Commissione europea e Consiglio dei Ministri, si è raggiunto un consenso generale sulla formulazione del RGPD e sulle sanzioni finanziarie per la mancata osservanza.[5]

Contenuto[modifica | modifica wikitesto]

La proposta per il regolamento generale sulla protezione dei dati contiene le seguenti modifiche fondamentali:[6] [7]

Ambito[modifica | modifica wikitesto]

Il regolamento si applica al trattamento dei dati personale, ed al trattamento non automatizzato dei dati conservati in un "archivio", definito (artt. 2 e 4) in modo simile all'espressione "banca di dati", presente nel codice della privacy italiano. Inoltre, a differenza dell'attuale direttiva, il regolamento si applica anche a imprese ed enti, organizzazioni in generale, con sede legale fuori dall'UE che trattano dati personali di residenti nell'Unione Europea. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server). Il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico ("le autorità competenti per gli scopi di prevenzione, indagine, individuazione e persecuzione di reati penali o esecuzione di provvedimenti penali"). Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer."[8] Il regolamento disciplina solo il trattamento di dati personali delle persone fisiche. In base al principio di stabilimento le sue norme si applicano ai trattamenti di dati personali posti in essere da titolari e responsabili stabiliti nell’Unione Europea, senza alcun rilievo per il luogo in cui si effettua il trattamento stesso o per il luogo in cui si trova il data subject[9].

Dati[modifica | modifica wikitesto]

Vengono ampliate e caratterizzate le definizioni sui dati presenti nella corrente direttiva e aggiunte di nuove. Quindi, oltre al dato personale, troviamo dati genetici, biometrici e relativi alla salute, comunque tutte informazioni che consentono l'identificazione univoca o l'autenticazione di una persona fisica.

  • Dato personale (art. 4 paragrafo 1): informazioni relative a persona fisica identificata o identificabile. La novità risiede proprio nel criterio di identificazione, la persona può essere identificata direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
  • Dati sensibili (art. 9 paragrafo 1): si considerano i dati personali come l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati relativi alla vita sessuale o all'orientamento sessuale della persona, nonché:
    • Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione.
    • Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica.
    • Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.
  • Dati personali relativi a condanne penali o reati (art.10).

Insieme unico di regole e sportello unico[modifica | modifica wikitesto]

A tutti gli stati membri UE si applicherà un insieme unico di regole. Ciascuno stato membro istituirà un'autorità sovrintendente indipendente per dare udienza ai reclami, effettuare indagini, sanzionare le infrazioni amministrative, ecc. Le autorità sovrintendenti in ciascuno stato membro collaboreranno con le altre, fornendo assistenza reciproca e organizzando operazioni congiunte. Qualora una ditta abbia più stabilimenti nell'UE, avrà un'unica autorità sovrintendente come propria "autorità principale", sulla base dell'ubicazione del proprio "stabilimento principale" (ossia il posto dove hanno luogo le principali attività di gestione). L'autorità principale agirà quale "sportello unico" per supervisionare tutte le attività di gestione dati di quella ditta nell'UE[10][11] (Articoli 46 - 55 del RGPD). Il Comitato europeo della protezione dati (EDPB, European Data Protection Board) coordinerà le autorità sovrintendenti. L'EDPB andrà a sostituire il gruppo di lavoro dell'Articolo 29.

Vi sono eccezioni nel caso di dati elaborati in un contesto di impiego e di dati elaborati a scopo di sicurezza nazionale, che potrebbero ancora essere soggetti ai regolamenti delle singole nazioni (Articoli 2(2)(a) e 82 del RGPD).

Responsabilità[modifica | modifica wikitesto]

Il principio di responsabilità legato al trattamento dei dati personali resta ancorato (come nel Codice per la protezione dei dati personali) ad un concetto di responsabilità per esercizio di attività pericolosa con una valutazione ex ante in concreto ed una sostanziale inversione dell'onere della prova. Per non rispondere del danno commesso derivante dal trattamento dei dati personali occorre sostanzialmente provare di aver fatto tutto il possibile per evitarlo. Il Regolamento aggancia e sviluppa questo tipo di responsabilità verso il concetto di Responsabilizzazione (art. 5 co. 2). Occorre osservare i principi applicabili al trattamento dei dati personali di cui all'articolo 5 adempiendo alle relative obbligazioni ed essere in grado di comprovarlo.

OBBLIGHI

I requisiti per le informative agli interessati rimangono e in parte sono ampliati. Essi devono includere il tempo di mantenimento dei dati personali e occorre fornire i contatti di chi controlla i dati e del funzionario preposto alla protezione dei dati.

È stato introdotto il diritto di contestazione delle decisioni automatizzate, compresa la profilazione (Articolo 22). I cittadini hanno ora il diritto di contestare e contrastare decisioni che hanno impatto su di loro e che sono state realizzate unicamente in base ai risultati di un algoritmo.

Tale diritto, fatta eccezione per dati personali intesi ad identificare in modo univoco una persona fisica (Articolo 9 comma 1), non si applica nel caso in cui la decisione:

  • sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;
  • sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa inoltre misure adeguate a tutela dei diritti, della libertà e dei legittimi interessi dell'interessato;
  • si basi sul consenso esplicito dell'interessato.

I principi di Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (Articolo 25) richiedono che la protezione dei dati faccia parte del progetto di sviluppo dei processi aziendali per prodotti e servizi.

Le impostazioni di privacy sono configurate su un livello alto in modo predefinito.

Le valutazioni dell'impatto della protezione dei dati (Articolo 35) devono essere effettuate nei casi in cui si verifichino rischi specifici per i diritti e le libertà dei soggetti dei dati. La valutazione e la riduzione del rischio sono richieste insieme ad un'approvazione preventiva da parte delle autorità per la protezione dei dati (DPA, Data Protection Authority) per rischi elevati. I Responsabili per la protezione dei dati (Articoli 37) sono tenuti a verificare l'osservanza delle norme del Regolamento da parte dei titolari e nel caso di valutazioni di impatto, se richiesto dal titolare, sono tenuti a consultarsi con esso.

Consenso[modifica | modifica wikitesto]

Un valido consenso deve essere esplicitamente dato per la raccolta dei dati e per i propositi per i quali sono usati (Articolo 7; definito in Articolo 4). Pertanto se la richiesta viene inserita nell'ambito di altre dichiarazioni essa va distinta e formulata con linguaggio semplice e chiaro (Articolo 7). Condizione di validità del consenso è che le finalità per cui viene richiesto siano esplicite, legittime, adeguate e pertinenti (Articolo 5). Nel caso in cui il consenso al trattamento dei propri dati personali per una o più specifiche finalità sia stato espresso da minori esso è valido solo se il minore ha almeno 16 anni. L’età viene ridotta a 13 anni solo se lo stato membro ha previsto con legge una diversa età purché non inferiore a questa. Qualora il minore abbia un'età inferiore ai 16 o 13 anni, il consenso al trattamento deve essere dato da un genitore o da chi eserciti la potestà, e deve essere verificabile (Articolo 8). I controllori dei dati devono essere in grado di provare il consenso ("opt-in") e il consenso può essere ritirato[12] o modificato con l’introduzione di limitazioni nel trattamento (art. 18).

Sicurezza dei dati[modifica | modifica wikitesto]

La sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. A tal fine il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito, salvo che lo richieda il diritto dell'Unione o degli Stati membri (Articolo 32). A garanzia dell’interessato il Regolamento UE 2016/679 regolamenta anche il caso di trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale (Articolo 44 e ss) e prevede che l’interessato venga prontamente informato in presenza di una violazione che metta a rischio i suoi diritti e le sue libertà (Articolo 33).[13]

Responsabile per la protezione dei dati (cd DPO, Data protection officer)[modifica | modifica wikitesto]

Qualora l'elaborazione sia effettuata da un'autorità pubblica, fatto salvo per le corti o le autorità giudiziarie indipendenti agenti nella loro competenza giudiziaria, o qualora, nel settore privato, l'elaborazione sia effettuata da un controllore le cui attività principali consistono di operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico dei soggetti dei dati, una persona esperta di legislazione e pratiche relative alla protezione dei dati deve assistere colui che li controlla o li gestisce al fine di verificare l'osservanza interna al regolamento. Il responsabile per la protezione dei dati è una figura simile, ma non identica, al preposto all'osservanza, in quanto ci si aspetta che il primo abbia una buona padronanza dei processi informatici, della sicurezza dei dati (inclusa la gestione dei ciber-attacchi) e di altre questioni di coerenza aziendale riguardanti il mantenimento e l'elaborazione di dati personali e sensibili. Ricorda molto l'Odv (organismo di vigilanza) della legge n. 231 del 2001 sulla responsabilità penale delle persone giuridiche e il responsabile anticorruzioni per la sua autonomia, indipendenza e assenza di conflitti di interesse. L'insieme di competenze richieste si estende al di là della comprensione dell'osservanza legale di leggi e regolamenti sulla protezione dei dati e comporterà una grande preparazione e professionalità. Il monitoraggio dei Data protection office sarà onere del regolatore e non del consiglio di amministrazione dell'organizzazione che assume il funzionario. La nomina di un responsabile per la protezione dei dati all'interno di una grande organizzazione rappresenterà una sfida sia per il consiglio di amministrazione, sia per lo stesso responsabile. Considerati lo scopo e la natura della nomina, sono in gioco una miriade di questioni legate alla governance e a fattori umani che le organizzazioni e le aziende dovranno affrontare. Inoltre, chi detiene l'incarico dovrà creare un proprio team di supporto e sarà anche responsabile del proprio sviluppo professionale continuativo, dal momento che, come "mini-regolatore" ad ogni effetto, dovrà essere indipendente.

Misure tecniche di sicurezza suggerite[modifica | modifica wikitesto]

Le misure per garantire la sicurezza dei dati personali sono presentate nell'art. 32:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Il responsabile e il titolare del trattamento hanno l'onere di dimostrare la conformità dei sistemi al regolamento europeo. Possono aderire a codici di condotta, oppure della certificazione di conformità. La certificazione non riduce la responsabilità del titolare del trattamento o del responsabile, né i poteri e compiti delle authority (art. 42, par. 4), ed ha durata massima di cinque anni (art. 43, par.4).

Codici di condotta, certificazione[modifica | modifica wikitesto]

Associazioni o altri organismi di categoria, possono elaborare un codice di condotta cui i membri aderiscono su base volontaria.

Il codice di condotta deve preventivamente essere approvato dall'authority, ed è specificamente previsto che sia registrato e pubblicamente accessibile (art. 40, par. 6). Se il trattamento interessa più di uno Stato membro, il codice è sottoposto all'approvazione di un comitato di coordinamento delle authority dei Paesi coinvolti.

L'authority accredita e revoca gli organismi che possono verificare la conformità dei sistemi di trattamento dei dati personali ai codici di condotta. La valutazione rileva grado di competenza, grado di indipendenza, e assenza di conflitti di interessi, fatti salvi i compiti e i poteri dell'autorità di controllo competente di intervento diretto (art. 41, parr. 1 e 4). 

L'authority e un organismo nazionale di certificazione hanno il compito di accreditare o revocare gli organismi di certificazione che verificano la conformità del trattamento dei dati personali al regolamento europeo. I requisiti sono i medesimi previsti per gli organismi che esercitano il controllo di conformità del codice di condotta al regolamento.

Sanzioni[modifica | modifica wikitesto]

Le sanzioni inflitte in ogni caso saranno effettive, proporzionate e dissuasive. Possono essere imposte le seguenti sanzioni:

  • un avvertimento scritto in caso di prima e non-intenzionale non-conformità;
  • regolari controlli periodici di protezione dei dati;
  • la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 di euro, o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (articolo 83, paragrafo 4):
    • gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
    • gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;
    • gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;
  • la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 di euro, o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (articolo 83, paragrafo 5 e 6):
    • i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
    • i diritti degli interessati a norma degli articoli da 12 a 22;
    • i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;
    • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
    • l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.

Dati sanitari, genetici, biometrici[modifica | modifica wikitesto]

Nel regolamento RGDP i dati idonei a rivelare lo stato di salute o la vita sessuale rientrano nelle "categorie particolari di dati personali" (art. 9).

Il codice della privacy italiano, fra i compiti di "rilevante interesse pubblico" del Servizio sanitario nazionale, identifica (art. 85) le attività di:

  • programmazione, gestione, controllo e valutazione dell'assistenza sanitaria,
  • vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti rilevanti di rilevanza sanitaria.

Se necessario ai sensi del codice o di altra disposizione di legge, il consenso dell'interessato al trattamento dei dati personali può essere manifestato anche a voce in un'unica dichiarazione (art. 81).
Per finalità di ricerca medica, biomedica ed epidemiologica previsti dalla legge e approvati dall'autorità Garante non è necessario il consenso dell'interessato, che ha diritto a far aggiungere correzioni e rettifiche se ciò non produce effetti significativi sul risultato della ricerca (art. 110).

I dati possono essere resi noti all'interessato solo per il tramite di un medico designato dall'interessato o dal titolare (art. 84).

Violazione dei dati (cd Data Breach) art. 33 e art. 34[modifica | modifica wikitesto]

Il titolare del trattamento dei dati avrà l'obbligo legale di rendere note le fughe di dati all'autorità nazionale e di comunicarle entro 72 ore da quando ne è venuto a conoscenza. I resoconti delle fughe di dati non sono soggetti ad alcuno standard "de minimis" e debbono essere riferite all'autorità sovrintendente non appena se ne viene a conoscenza e comunque entro 72 ore. In alcune situazioni le persone di cui sono stati sottratti i dati dovranno essere avvertite.

Diritto alla cancellazione, limitazione e rettifica[modifica | modifica wikitesto]

Il cosiddetto diritto all'oblio è stato sostituito da un più limitato diritto alla cancellazione nella versione del RGPD adottata dal Parlamento Europeo nel marzo del 2014.[14][15] L'Articolo 17 stabilisce che il soggetto dei dati ha il diritto di richiedere la cancellazione di dati personali relativi a sé sulla base di una qualsiasi di una serie di giurisdizioni che comprendono la mancata osservanza dell'articolo 6.1 (legalità), il quale include il caso (f) in cui gli interessi o i diritti fondamentali del soggetto dei dati richiedente la loro protezione prevalgono sui legittimi interessi del controllore. L’interessato deve poter esercitare questo suo diritto con la stessa facilità con cui ha espresso il consenso al trattamento dei suoi dati. Il responsabile del trattamento, dietro richiesta dell’interessato, dovrà comunicare all’interessato i destinatari a cui ha trasmesso la sua richiesta di cancellazione (Articolo 19). Sul responsabile del trattamento grava lo stesso onere in caso di richiesta di limitazione o di rettifica dei dati presentata dall’interessato rispettivamente ai sensi dell’art. 18 e dell’art. 16 del Regolamento UE 2016/679.[13]

Portabilità dei dati[modifica | modifica wikitesto]

Una persona deve essere in grado di trasferire i propri dati personali da un sistema di elaborazione elettronico a un altro senza che il controllore dei dati possa impedirlo. Inoltre, i dati devono essere forniti dal controllore in un formato strutturato e di uso comune. Il diritto alla portabilità dei dati è sancito dall'Articolo 18 del RGPD.[7] Gli esperti legali vedono nella versione finale di questa misura la creazione di un "nuovo diritto" che "si estende oltre l'ambito della portabilità dei dati tra due controllori, così come stipulato dall'Articolo 18".[16]

Cronologia[modifica | modifica wikitesto]

La sequenza temporale che ha condotto all'adozione del Regolamento RGPD è la seguente:

  • 21 ottobre 2013: il Comitato del Parlamento Europeo su Libertà Civili, Giustizia e Affari Interni (LIBE) dà il proprio voto di orientamento.
  • 15 dicembre 2015: le trattative tra il Parlamento Europeo, il Consiglio e la Commissione risultano in una proposta congiunta.
  • 17 dicembre 2015: il LIBE dà il proprio voto positivo al risultato delle trattative nel dialogo a tre.
  • 8 aprile 2016: adozione da parte del Consiglio dell'Unione Europea.[17]
  • 14 aprile 2016: adozione da parte del Parlamento Europeo.[18]
  • 4 maggio 2016: il regolamento entra in vigore, 20 giorni dopo la sua pubblicazione sulla rivista ufficiale dell'UE.[19]
  • 25 maggio 2018: le disposizioni del GDPR sono direttamente applicabili in tutti gli stati membri.[19]

Dispute e tensioni[modifica | modifica wikitesto]

La proposta di un nuovo regolamento ha dato vita a molte discussioni e controversie. Sono stati proposti migliaia di emendamenti.[20] Si supponeva che l'insieme unico di regole e la rimozione di requisiti amministrativi risultassero in un risparmio economico, ma i critici hanno sollevato queste obiezioni:

  • La richiesta di avere un funzionario per la protezione dei dati è nuova per molte nazioni europee ed è stata criticata da alcune per il carico amministrativo.
  • Il RGPD è stato sviluppato con un'attenzione particolare per i social network e i provider di servizi cloud, ma non ha preso in sufficiente considerazione i requisiti per il trattamento dei dati dei dipendenti.
  • La portabilità dei dati non è vista come un aspetto fondamentale per la protezione dei dati, ma più come un requisito funzionale per i social network e i provider di servizi cloud.
  • Sfide linguistiche e di personale per le autorità di protezione dei dati:
    • Le imprese extraeuropee potrebbero preferire le DPA britanniche o irlandesi in virtù della lingua inglese. Questo implicherà l'uso di ampie risorse in quei paesi.
    • I cittadini europei non avranno più una singola DPA da contattare per i propri problemi, ma dovranno rivolgersi alla DPA scelta dall'azienda coinvolta. Ci si possono aspettare problemi di comunicazione a causa delle lingue straniere.
  • Il nuovo regolamento è in conflitto con altre leggi, regolamentazioni e prassi non europee (ad esempio la sorveglianza da parte dei governi). Le imprese in tali paesi non andrebbero più considerate accettabili per la gestione dei dati personali nell'UE.
  • Le problematiche maggiori potrebbero riguardare la messa in pratica del RGPD:
    • L'implementazione del RGPD europeo richiederà un sostanziale cambiamento nelle pratiche commerciali per quelle imprese che non avevano implementato un livello confrontabile di privacy prima che il regolamento entrasse in vigore (soprattutto le imprese extraeuropee che trattano dati personali europei).
    • Vi è già a tutt'oggi una carenza di esperti sulla privacy e i nuovi requisiti potrebbero peggiorare la situazione. Pertanto, la formazione nella protezione dei dati sarà un fattore cruciale per il successo del RGPD.
    • La Commissione Europea e le DPA devono fornire risorse e poteri sufficienti per mettere in atto l'implementazione ed è necessario raggiungere un accordo su un livello uniforme di protezione dei dati da parte di tutte le DPA europee, poiché una interpretazione diversa del regolamento può comunque portare a livelli di privacy differenti.

Note[modifica | modifica wikitesto]

  1. ^ Testo di compromesso., su Consiglio dell'Unione europea, 11 giugno 2015.
    «"Diversi orientamenti generali parziali hanno consentito una convergenza di vedute in sede di Consiglio sulla proposta concernente un regolamento generale sulla protezione dei dati nella sua integralità."».
  2. ^ EUR-Lex - l14012 - EN - EUR-Lex, su Leggi dell'Unione europea. URL consultato il 15 ottobre 2016.
  3. ^ Commissione Europea - Fact Sheet. Domande e risposte sulla riforma della Data protection (in inglese), European Commission, 21 dicembre 2015.
  4. ^ Le sanzioni privacy nel nuovo regolamento europeo, in PRIVACY NEWS Studio Legale SIB. URL consultato il 15 ottobre 2016.
  5. ^ Article 83 (5) of The Council's first reading after the trilogue sets maximum fines to be the highest of 4% of global turnover and 20 million Euro.
  6. ^ "Inofficial consolidated version GDPR" Archiviato il 31 dicembre 2013 in Internet Archive..
  7. ^ a b Proposal for the EU General Data Protection Regulation.
  8. ^ European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25 January 2012.
  9. ^ Il nuovo Regolamento 2016/679 GDPR - Data Protection Law | Privacy e protezione dati personali, in Data Protection Law | Privacy e protezione dati personali. URL consultato il 9 maggio 2018.
  10. ^ The Proposed EU General Data Protection Regulation.
  11. ^ "GDPR proposal"
  12. ^ "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide".
  13. ^ a b EUR-Lex - 32016R0679 - EN - EUR-Lex, su eur-lex.europa.eu. URL consultato il 15 gennaio 2017.
  14. ^ Tony Baldry e Oliver Hyams, The Right to Be Forgotten, 1 Essex Court.
  15. ^ European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), Parlamento Europeo.
  16. ^ The Final European Union General Data Protection Regulation, by Cedric Burton, Laura De Boel, Christopher Kuner, Anna Pateraki, Sarah Cadiot and Sára G. Hoffman, Section II, 4, Bloomberg BNA, 12 febbraio 2016.
  17. ^ Data protection reform: Council adopts position at first reading
  18. ^ Data protection reform - Parliament approves new rules fit for the digital era
  19. ^ a b EU Official Journal issue L 119
  20. ^ Overview of amendments.

Voci correlate[modifica | modifica wikitesto]

Altri progetti[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Controllo di autoritàVIAF (EN24146824948007631105 · LCCN (ENno2017007011 · GND (DE1105568555