In corso di stampa il primo aggiornatissimo Codice della Privacy aggiornato al GDPR curato dal Direttore DNT ® Prof. Avv. Emilio Tosi
IL GENERAL DATA PROTECTION REGULATION UE: IL NUOVO BENCHMARK LEGALE PRIVACY GLOBALE DAL 25 MAGGIO 2018
La crescente diffusione di prodotti e servizi di comunicazione elettronica di nuova generazione basati sull’elaborazione massiva e sistematica di informazioni personali – Videosorveglianza, Smartphone, GPS, Internet of Things, Big Data, Cloud computing per citare i casi più significativi - accrescono il ruolo strategico dei temi della privacy e della sicurezza informatica dei dati raccolti con tali modalità pervasive anche nella prospettiva di un armonizzato sviluppo dei mercati digitali.
L’economia globale diventa digitale: le tecnologie dell’informazione e della comunicazione non costituiscono più un settore a sé stante, bensì il fondamento stesso - pervasivo - di tutti i sistemi economici innovativi moderni.
Si afferma un nuovo paradigma industriale – è la quarta rivoluzione denominata Industria 4.0 – in cui tutte le fasi produttive sono gestite e condizionate dalle informazioni raccolte dalla progettazione sino al post-vendita da eterogenee tecnologie abilitanti digitali che interconnettono sistemi produttivi, prodotti e consumatori.
Il Digital Single Market (DSM) UE è un mercato in cui è garantita oltre alla libera circolazione delle merci, delle persone, dei servizi e dei capitali anche la libera circolazione delle informazione: indipendentemente da cittadinanza, nazionalità o luogo di residenza nello spazio economico della UE, persone e imprese non incontrano ostacoli all’accesso e all’esercizio delle attività on line in condizioni di concorrenza leale, potendo contare su un livello elevato di protezione dei consumatori e dei dati personali.
La realizzazione del DSM consentirà all’UE di mantenersi tra i leader mondiali dell’economia digitale, sostenendo la crescita delle imprese europee su scala globale.
Il DSM UE si propone, inoltre, di garantire:
-la riservatezza e la protezione dei dati personali delle persone fisiche (General Data Protection Regulation UE - GDPR) e
-la riservatezza delle comunicazioni elettroniche delle persone fisiche e giuridiche (Regolamento e-privacy in corso di elaborazione legislativa comunitaria).
Il GDPR è un Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati) che si applicherà in tutti i 27 Stati membri della UE oltre che al Regno Unito, nonostante la Brexit, per espressa adesione dell’Information Commissioner’s Office brittanico.
Le regole per la tutela dei dati personali sono state tipizzate per la prima volta, in Italia, sulla scorta di un lungo periodo di elaborazione dottrinale prima e giurisprudenziale poi, dalla L. 31 dicembre 1996, n. 675, che a partire dal 1o gennaio 2004 è stata abrogata e sostituita dal Codice in materia di protezione di dati personali (D.Lgs. 30 giugno 2003, n. 196), qui di seguito, per brevità, Codice Privacy.
Pure abrogate per effetto della piena applicazione del GDPR risultano le parti incompatibili del Codice della Privacy italiano. Il D.Lgs. in corso di pubblicazione attua proprio l’opera di armonizzazione utile a facilitare la lettura e l’applicazione delle regole da parte degli operatori italiani.
La sicurezza informatica, che riveste un ruolo centrale nella protezione dei dati, vedrà crescere gli investimenti, a livello globale, nel 2017 portando la spesa complessiva a 86,4 miliardi di dollari con un incremento +7% rispetto al 2016. Nel 2018 il mercato globale della sicurezza informatica è stimato in crescita ulteriore +8% con un fatturato previsto di circa 93 miliardi di dollari, in particolare trainate dalle nuove misure di sicurezza richieste dal GDP (data prevention loss).
Il Garante italiano – in diversi interventi istituzionali – ha manifestato particolare attenzione alla tutela di questo diritto fondamentale della persona proprio nella complessa sfida della società digitale in cui la privacy, parebbe, talvolta, in assenza di adeguate regole, destinata soccombere.
E’ stato recentemente avviato anche il processo di riforma della Direttiva 2002/58/CE (c.d. “Direttiva e Privacy“), che dovrebbe uniformare l’attuale quadro normativo continentale in materia di circolazione dei dati personali nelle comunicazioni elettroniche – con un tentativo di disciplinare anche le comunicazioni Machine to Machine del nuovo fenomeno IoT – con l’introduzione, anche in questo caso, di un Regolamento direttamente applicabile negli Stati UE.
La riservatezza delle comunicazioni elettroniche garantisce che le informazioni scambiate fra le parti e gli elementi esterni di tale comunicazione, compresi il momento, l’origine dell’invio e il destinatario, non siano rivelate a nessun’altra parte che non sia coinvolta nella comunicazione. Il principio di riservatezza dovrebbe applicarsi agli attuali e ai futuri mezzi di comunicazione, ivi compresi le chiamate, l’accesso a internet, le applicazioni di messaggistica istantanea, la posta elettronica, le chiamate telefoniche via internet e la messaggistica personale attraverso le piattaforme sociali.
La tutela della privacy in senso lato comprende – nella sua dimensione più matura e attuale anche alla luce del quadro normativo comunitario introdotto dal GDPR - i seguenti elementi essenziali:
-Diritto alla riservatezza personale
-Diritto alla titolarità e protezione dei dati
Corollari del principio di titolarità dei dati sono, inoltre, i diritti – pure tipizzati - alla:
-Correzione e aggiornamento dei dati
-Limitazione e cancellazione
-Diritto all’oblio
-Diritto alla portabilità dei dati
Un pilastro fondamentale del DSM, si ribadisce, è proprio quello costituito dalla costruzione europea di un nuovo quadro regolatorio armonizzato in materia di protezione di dati personali in attuazione del:
-generale precetto contenuto nell'articolo 16, paragrafo 1, del Trattato sul funzionamento dell'Unione europea («TFUE»)
-art. 7 -Diritto al rispetto della vita privata e familiare e
-art.8 - Protezione dei dati di carattere personale della Carta dei diritti fondamentali dell’Unione Europea.
Il principio di riservatezza è, inoltre, riconosciuto anche dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali del 1950, che prevede il diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza (art. 8).
Temi fondamentali regolati nello scenario globale secondo differenti modelli di tutela e prospettiva: quello europeo rafforzato e basato su diritti fondamentali della persona costituzionalmente protetti, quello USA più flessibile e basata su un approccio settoriale, case by case, spesso soccombente rispetto alle non sempre evidenti esigenze di sicurezza nazionale e talvolta semplicemente mercatorie, come pare nel recente caso dell’abrogazione della normativa della Federal Communication Commission che prevedeva obblighi privacy degli ISP.
Anche se ora il GDPR – a seguito del caso Cambridge Analytica e dell’ormai celebre audizione di Mr. Zuckenberg da parte del Congresso a Wasghington DC – sta per diventare il nuovo legal privacy benchmark globale.
Tante le novità introdotte che richiederanno opportuno studio e adeguata implementazione: Valutazione Impatto Privacy, Data Protection Officer, diritto all’oblio, diritto alla portabilità dei dati, protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, responsabilità, nonché un robusto apparato sanzionatorio solo per fare alcuni cenni senza pretese di esaustività.
Di tali fondamentali novità si è discusso a Firenze il 23 ottobre 2017 con il Garante Privacy Dott. Soro in occasione dell’importante Convegno DNT – CESIFIN promosso dal Prof. Avv. Emilio Tosi Direttore Esecutivo DIRITTO DELLE NUOVE TECNOLOGIE DNT® - Collana di Studi giuridici per l’innovazione ®, Professore di Diritto Privato e Diritto delle Nuove Tecnologie nell’Università di Milano Bicocca, Managing Partner TOSI & PARTNERS HIGH TECH LEGAL®:
http://www.tosilex.it//news/convegno-privacydigitale-cesifin-dnt-2017
Inoltre per agevolare l’applicazione e lo studio delle nuove regole è in corso di stampa la nuovissima edizione 2018 del primo Codice della Privacy - aggiornato al GDPR e al Decreto Legislativo delegato di revisione e armonizzazione del D.Lgs. 196/2003 - curato dal Prof. Avv. Emilio Tosi.
IL RUOLO CENTRALE DEL DPO
Il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39 GDPR infra evidenziate.
Non sono richiesti, invece, come ha chiarito anche il Garante, il titolo di specifici percorsi formativi abilitanti né certificazioni all’esercizio delle funzioni previste dal GDPR.
Il DPO deve essere un esperto di norme e procedure relative alla protezione dei dati personali in grado di gestire i rapporti – oltre che con i soggetti interessati dal trattamento dei dati personali - con il Garante e con gli ispettori della GdF ove necessario: può essere, non deve essere, un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.
In buona sostanza il GDPR ammette l’esternalizzazione delle funzioni del DPO con affidamento a consulente professionale esterno.
Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del DPO e li comunica al Garante.
Il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
Il titolare del trattamento e il responsabile del trattamento sostengono il DPO nell'esecuzione dei compiti di cui all'articolo 39 GDPR fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
Il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti: tale disposizione deve essere intesa nel senso di una marcata autonomìa e indipendenza del DPO rispetto agli ordinari rapporti gerarchici aziendali.
Il DPO non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti.
Gli interessati possono contattare il DPO per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal presente regolamento.
Il DPO è tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti, in conformità del diritto dell'Unione o degli Stati membri.
Il DPO può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.
Il DPO (art.39 – GDPR) è incaricato almeno dei seguenti compiti:
a)informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
b)sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c)fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
d)cooperare con l'autorità di controllo; e
e)fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.
CONSULENZA LEGALE GENERAL DATA PROTECTION REGULATION: ESTERNALIZZAZIONE DATA PROTECTION OFFICER
Il Prof. Avv. Emilio Tosi – Managing Partner TOSI & PARTNERS HIGH TECH LEGAL - è noto e apprezzato studioso dei profili giuridici dell’innovazione digitale che da oltre un ventennio si occupa di studiare le interferenze tra diritto privato, riservatezza informatica, data protection e nuove tecnologie e che dal 2003, dopo averne promosso la fondazione, Dirige la rinomata e apprezzata Collana di Studi “Diritto delle Nuove Tecnologie”.
Per ulteriori informazioni su tale profilo: Direttore Esecutivo DNT®.
TOSI & PARTNERS HIGH TECH LEGAL assiste primarie Società e Banche nella gestione del processo di corretta implementazione aziendale del GDPR e fornisce servizi di esternalizzazione per assolvere efficacemente le funzioni di Data Protection Officer.
ULTIMA EDIZIONE 2018 CODICE PRIVACY IN CORSO DI STAMPA
TOSI & PARTNERS HIGH TECH LEGAL
CONSULENZA LEGALE
HIGH TECH – DATA PROTECTION – INTELLECTUAL PROPERTY
CORPORATE COMPLIANCE – ODV231– BANKING – ARBITRATION
Milano – Piacenza - Roma
info@tosilex.it - www.hightechlegal.it