Prende forma il nuovo Regolamento europeo sulla data protection

MILANO - E' stato positivo l'avvio dei negoziati tra Parlamento europeo e Consiglio dell’Unione Europea per giungere a un accordo su un testo condiviso del nuovo Regolamento sulla protezione dei dati. Sono circa 3000 gli emendamenti proposti in oltre 20 mesi di intenso dibattito. La Commissione LIBE li ha votati il 21 ottobre scorso e ora si attende, per l’avvio dei negoziati tra i due “co-legislatori”, Parlamento e Consiglio Ue, il testo con gli emendamenti del Consiglio, che non ha ancora concluso l’esame della proposta. Il testo emendato del Regolamento mantiene numerose impostazioni della proposta originale della Commissione, a partire dall'applicabilità del Regolamento ai trattamenti svolti da aziende extra-Ue, se queste utilizzano dati personali di utenti Ue per offrire loro prodotti o servizi. Vi sono altre conferme che riguardano il consenso della persona interessata. Tale consenso deve essere esplicito, non solo “inequivocabile”, come nell’attuale direttiva 95/46. Alcune proposte innovative, quali la nomina obbligatoria di un “Data Protection Officer” da parte dei titolari di trattamento – in base a criteri diversi rispetto a quelli indicati dalla Commissione - sono state inoltre mantenute. É stata prevista l’introduzione di un obbligo generale per tutti i titolari di trattamenti dati di notificare eventuali violazioni, data breaches, alle Autorità privacy e in alcuni casi anche agli interessati.

Eliminazioni e trasformazioni

L'attuale obbligo di notificare i trattamenti all’Autorità di protezione dati è stato invece eliminato. Gli emendamenti introducono anche versioni “semplificate” di alcune disposizioni del prossimo Regolamento: il diritto all’oblio, ad esempio, è stato trasformato in un diritto alla rettifica o alla limitazione del trattamento in forma rafforzata. I requisiti per trasferire dati personali verso Paesi terzi sono stati resi più stringenti, introducendo un articolo che prevede l’obbligo di autorizzazione dei Garanti nazionali prima di inviare dati su richiesta di autorità giudiziarie o amministrative di Paesi terzi. Modificato anche il sistema delle sanzioni amministrative, che tutte le Autorità nazionali di controllo devono poter comminare, ma che sono libere di definire entro una soglia pecuniaria massima e nel rispetto di una serie di criteri stabiliti nel testo. Vanno segnalate anche le modifiche apportate alla proposta di Regolamento per quanto riguarda il meccanismo di “sportello unico” (one-stop-shop) e la collaborazione fra autorità di controllo attraverso il cosiddetto “meccanismo di coerenza”.

Secondo il Parlamento, lo sportello unico deve permettere alle imprese multinazionali di dialogare con un unico interlocutore nell’Ue (l’Autorità privacy del Paese dove hanno il loro “stabilimento principale”), ma il ruolo di questa Autorità (definita, appunto, “Autorità capofila”) deve consistere nel coordinamento di un processo di co-decisione in cui tutte le Authority degli Stati membri interessati da un trattamento devono partecipare ed avere voce. Vi sono perplessità su alcuni aspetti contenuti nel Regolamento. Ci si riferisce all’introduzione della definizione di “dato pseudonimo”, in termini che non chiariscono pienamente come il dato pseudonimo resti un dato in grado di identificare una persona.

Altri punti controversi sono le norme sulla profilazione e la definizione stessa di profilazione; l’introduzione chiesta dal Parlamento di un “certificato europeo” della protezione dati, una sorta di “bollino-qualità” che consentirebbe ai titolari di trattamenti di beneficiare di varie deroghe ed esenzioni, e la cui vigilanza sarebbe affidata a soggetti terzi, diversi dalle Autorità di controllo. Dalla Commissione del Parlamento europeo sono stati licenziati anche gli emendamenti alla proposta di Direttiva che si applicherà ai trattamenti di dati per fini di giustizia e polizia, con l’obiettivo di mantenere un approccio uniforme e coerente alla protezione dei dati di tutti i cittadini.

www.federprivacy.it