Privacy 2016: aggiornamenti e prospettive

Negli ultimi mesi del 2015 sono state molteplici le novità e gli aggiornamenti che hanno riguardato la normativa per la protezione dei dati personali. Tali cambiamenti hanno interessato sia la legislazione italiana che quella comunitaria, e nell’anno che si accinge ad iniziare saranno notevoli le conseguenze che tali innovazioni apporteranno alla vita degli operatori, siano essi persone fisiche che società / enti.

Dal punto di vista del diritto comunitario, senza dubbio la novità più importante che ci attende è l’emanazione del nuovo Regolamento europeo sulla privacy, la cui approvazione è stimata tra la fine del 2015 e i primi mesi del 2016. Il nuovo Regolamento consentirà l’aggiornamento e l’armonizzazione della disciplina sulla protezione dei dati personali e sarà applicabile in modo uniforme in tutti gli Stati membri dell’Unione Europea. Il novellato Regolamento porterà l’introduzione di nuove regole in tema di evoluzione tecnologica, social network, Big data (raccolta dati estesa in termini di volume, velocità, varietà), diritto all’oblio, nonché l’inserimento di una nuova importantissima figura non contemplata nell’attuale normativa italiana, il c.d “Data Protection Officer”, il Responsabile per la protezione dei dati personali.

Questa nuova figura professionale è affiancata da un professionista di primissima rilevanza già presente nell’organigramma privacy di qualsiasi struttura aziendale; parliamo dell’Incaricato del Trattamento dei dati e delle informazioni. Quest’ultimo (persona fisica), dietro apposita autorizzazione, effettua materialmente “qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati ” (art.4, comma 1, let. A).”

Nonostante in Italia non sia previsto alcun obbligo per le imprese pubbliche e private di dotarsi di un professionista che si occupi della gestione dei dati personali, dagli States dilaga la tendenza a ricorrere a figure professionali che, dotate di competenze tecnico-specialistiche trasversali, sovraintendano tutti i processi che riguardino il trattamento delle informazioni all’interno dell’azienda, intervenendo qualora venissero individuati problemi: rischio di distruzione o perdita dei dati, accesso non autorizzato, non consentito o non conforme alla raccolta dei dati personali.

È quindi di comune dominio che stiamo assistendo ad una fase di notevole importanza per la legislazione sulla privacy, una fase di svolta e di cambiamento che nel 2016 ci riserverà sicuramente altri spunti di riflessione.

Concentriamoci adesso sulla situazione italiana; in Italia ulteriore e recentissimo aggiornamento in materia di trattamento dei dati personali attiene l’introduzione del nuovo Codice di deontologia e buona condotta per il trattamento dei dati per finalità di natura commerciale, vincolante per tutti gli operatori che esercitano la propria attività all’interno di società commerciali.

Il nuovo Codice, emanato dal Garante per la protezione dei dati personali, con delibera del 17 settembre 2015, e pubblicato sulla Gazzetta ufficiale n°238 del 13 ottobre 2015, entrerà in vigore il 1° ottobre del prossimo anno.

Il Codice, promosso dal Garante, è stato redatto di concerto con varie  associazioni di categoria, imprenditoriali e dei consumatori, interessate al settore.

È d’obbligo domandarsi su quale categoria di soggetti il nuovo codice di condotta esplichi i suoi effetti. La novella normativa in tema di privacy riguarda un settore estremamente importante per il corretto funzionamento del mercato interno: l’ambito di attività delle società commerciali che raccolgono, elaborano, conservano le informazioni commerciali e offrono servizi informativi e/o valutativi.

Chiaro intento dell’Autorità è stato quello di semplificare e snellire gli adempimenti in tema di informazioni pubbliche o liberamente comunicate, di comunicazione e conservazione  delle informazioni, di esercizio dei diritti da parte degli interessati e di sicurezza delle informazioni. Nel nuovo dettato normativo vengono individuate le garanzie e le modalità relative al trattamento delle informazioni e dei dati personali, per garantire la certezza e la trasparenza nei rapporti commerciali, la corretta circolazione delle informazioni raccolte, nonché l’aggiornamento dei dati personali trattati.

Il rispetto delle disposizioni normative racchiuse nel nuovo Codice di deontologia costituisce la condizione essenziale per la liceità e la correttezza del trattamento dei dati personali effettuato sia da soggetti privati sia da soggetti pubblici.

Chi si accinge a redigere un dossier di informazione commerciale su imprenditori o manager d’azienda deve raccogliere dati e informazioni nel rispetto di certi limiti, eseguendo ricerche e facendo indagini relative alle sole persone fisiche o giuridiche che abbiano avuto un diretto collegamento con il manager o l’imprenditore in esame; bisogna inoltre aver riguardo di annotare quale sia stata la fonte da cui si sono tratte le informazioni sulla persona censita (art.2).

Altra novità di rilievo è che sarà possibile utilizzare informazioni e dati reperiti da fonti accessibili da chiunque e cioè, a titolo di esempio, da testate giornalistiche o ancora più banalmente le informazioni contenute in elenchi telefonici; utilizzabili saranno inoltre i dati personali provenienti dalle c.d fonti pubbliche: pubblici registri, atti o documenti, bilanci contenuti nel registro delle imprese presso le Camere di commercio, nonché i dati personali forniti direttamente dagli interessati. I dati raccolti potranno essere utilizzati senza il consenso degli interessati a norma di quanto stabilito dal Codice della privacy (art.5).

Il trattamento dei dati personali deve avvenire nel rispetto dei limiti di conoscibilità, utilizzabilità e pubblicità; le società commerciali interessate dovranno assumersi l’impegno di aggiornare periodicamente sul proprio sito web un’informativa completa della propria attività commerciale, nel rispetto di quanto stabilito dalla normativa nazionale di riferimento (art.3-4).

Gli operatori inoltre potranno indagare e reperire solo informazioni attinenti e non eccedenti l’attività commerciale della società commerciale in esame.

Nell’ambito del nostro excursus circa le più interessanti novità in tema di protezione dei dati personali che si stanno susseguendo nell’ultimo periodo, come non citare la decaduta autorizzazione “approdo sicuro”, c.d “Safe Harbor”, accordo pubblicato sulla Gazzetta ufficiale il 26 novembre 2001, che permetteva alle aziende statunitensi di utilizzare gli stessi standard per la gestione dei dati personali sia negli Stati Uniti che in Europa.

Il caso è stato oggetto di intervento della Corte di giustizia europea, la quale, a seguito della sentenza n°C-362/14 (Maximillian Schrems/Data Protection Commissioner), ha affermato che l’accordo non è più valido.

La Commissione europea, con decisione del 26 luglio 2000, aveva ritenuto che, nel contesto del “Safe harbor”, gli USA garantissero un adeguato livello di protezione dei dati personali trattati; la sentenza della Corte di Giustizia europea contesta la decisione della Commissione e produce l’effetto di dare più potere alle autorità nazionali per la protezione della privacy. Le autorità nazionali pertanto dovranno verificare, su richiesta degli interessati utenti, se il trasferimento dei propri dati e informazioni dall’Europa al suolo americano, garantisca i propri diritti. se la gestione verrà giudicata inadeguata, il trasferimento dei dati verrà bloccato.

A seguito della decaduta autorizzazione “approdo sicuro” le società commerciali potranno comunque lecitamente trasferire informazioni ricorrendo ad altre possibilità previste dalla normativa, avvalendosi di strumenti, quali ad esempio, clausole contrattuali standard e regole di condotta adottate all’interno di un medesimo gruppo (le c.d. BCR, Binding Corporate Rules).

Riteniamo che l’argomento sia di estrema attualità, essendo ad oggi centrale l’attività di aziende come Facebook, Google, Microsoft che basano il loro business sullo spostamento di file, relativi ai propri utenti, attraverso le proprie basi operative, in giro per il mondo; sarebbero circa 4500 le aziende che fino ad oggi hanno beneficiato delle regole contenute nel “Safe harbor”.