Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

La Commissione Speciale per gli atti urgenti del Governo ha iniziato l’esame dello schema di decreto legislativo per l’adeguamento della legislazione nazionale al Regolamento (UE) 2016/679.

Si comunica che durante la 14ª seduta di giovedì 17 maggio 2018, la Commissione speciale per l’esame degli atti urgenti presentati dal Governo Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Master Sole 24ore privacy officerVi proponiamo qui l’articolo di Giusella Finocchiaro e Oreste Pollicino, pubblicato su il Sole 24 Ore il 12 maggio 2018.

È stato finalmente trasmesso alle Camere lo schema di decreto elaborato dalla Presidenza del consiglio sulla base della proposta ricevuta dalla Commissione incaricata di adeguare la normativa italiana a quella europea. Tempi molto lunghi, anche per la situazione politica che non ha inserito certamente una normativa apparentemente di tipo tecnico, come quella sul Gdpr, fra le priorità.

Cosa è cambiato nello schema? Il contenitore e le norme penali. Mentre il contenuto è fondamentalmente rimasto il medesimo, salvo alcuni aggiustamenti, in parte condivisibili.

Con riguardo alla tecnica normativa, è stato scelto di inserire le modifiche apportate dal decreto nel Codice per la protezione dei dati personali, le cui disposizioni sono però perlopiù abrogate e di cui molte altre sono modificate. Ne risulta un testo di inutile complessità, che non apporta alcuna tutela sostanziale in più per il diritto alla protezione dei dati personali. La semplificazione è abbandonata e la leggibilità certamente ne risente.

La nuova tecnica normativa sembra sia stata motivata dal timore del rischio di un eccesso di delega se si fosse confermato l’approccio della Commissione di abrogare il codice. Il problema dell’eccesso di delega sembra essere stato amplificato rispetto alla sua reale portata. A differenza di numerosi casi in cui la legge delega fornisce dei principi e criteri direttivi dettagliati andando ad individuare questioni specifiche, in questo caso, si è di fronte ad espressioni di maggior respiro finalizzate più ad un riordino, anzi, ad un adeguamento della disciplina esistente rispetto alla nuova legislazione europea piuttosto che ad interventi di chirurgia legislativa. C’era dunque l’esigenza di dare piena applicazione ad una fonte di diritto dell’Unione europea che la Corte costituzionale, già dagli anni Settanta, ha riconosciuto prevalente sul diritto interno. In questi casi la Consulta è assai prudente nella identificazione di possibili vizi di costituzionalità.

L’impressione è, in altre parole, che l’adeguamento a cui mirava la legge delega sarebbe potuto passare, senza troppi problemi di possibile conformità costituzionale dello schema di decreto e un risultato di maggiore chiarezza e leggibilità dello stesso, anche per la scelta dell’abrogazione fatta dalla Commissione.

Sono state ampiamente riviste le disposizioni penali presenti nel Codice per la protezione dei dati personali e sono stati creati due nuovi reati, concernenti la cessione di rilevanti quantità di dati e l’acquisizione fraudolenta di dati. La formulazione delle nuove fattispecie di reato va ora verificata con la massima attenzione. Il principio di tassatività in materia penale non è solo tutelato dalla nostra Costituzione, ma anche dalla Carta dei diritti fondamentali dell’Unione europea. Trattandosi di materia in cui gli Stati membri hanno un margine di discrezionalità, sono comunque rilevanti i vincoli provenienti dal diritto dell’Unione, poiché si sta dando attuazione ad un regolamento comunitario. Ancora, la versione dello schema di decreto inviato alle Camere non ha tenuto in considerazione, a differenza di quanto faceva il testo licenziato dalla Commissione, della giurisprudenza della stessa Corte in tema di raccolta e conservazione di dati personali per finalità di sicurezza e di prevenzione di gravi reati.

Il bilanciamento tra sicurezza e privacy che emerge dal testo finale non sembra perfettamente in linea con il principio di proporzionalità delle restrizioni alla tutela dei dati personali su cui ha sempre insistito la Corte di giustizia.

In sintesi, uno schema di decreto che crea un raccordo fra la normativa italiana e quella europea ed effettua una verifica di compatibilità che contribuisce a creare una maggiore certezza del diritto. Ma su alcune scelte si sarebbe potuto avere più coraggio.

In previsione dell’imminente entrata in vigore del GDPR, l’Università degli studi di Roma 3 organizza un convegno del titolo “verso l’entrata in vigore del Regolamento UE 2016/679 sulla protezione dei dati personali”.

L’appuntamento è per Mercoledì 16 Maggio 2018 dalle ore 16:30 alle 19:00 presso la Sala del Consiglio del Dipartimento di Giurisprudenza.

Introducono il convegno il Prof. Carlo Colapietro e il Prof. Giorgio Resta.

Intervengono:

Prof.ssa Licia Califano (Garante per la protezione dei dati personali – Università di Urbino);

Prof.ssa Giusella Finocchiaro (Università di Bologna – Presidente del Gruppo di lavoro Min. Giustizia);

Prof. Alberto Gambino (Università Europea – IAIC);

Prof. Arturo Maresca (Università di Roma Tre);

Prof. Roberto Pardolesi (Luiss);

Prof. Oreste Pollicino (Università Bocconi);

Avv. Guido Scorza;

Dott. Roberto D’Orazio (Camera dei Deputati – Ufficio Legislazione Straniera);

Dott.ssa Ginevra Bruzzone (Assonime);

Dott. Antonio Matonti (Confindustria).

Modera il Dott. Federico Fubini (Corriere della Sera).

L’imminente entrata in vigore del GDPR è al centro del convegno organizzato da Confindustria, che si terrà presso la sede di Roma, in data 11 maggio 2018.

Interverranno:

Marcella Panucci, Direttore Generale Confindustria

Bruno Gencarelli Capo unità “Protezione e flussi internazionali di dati” Direzione generale Giustizia e Consumatori della Commissione europea.

Giuseppe Busia, Segretario Generale Autorità Garante per la protezione dei dati personali

Giusella Finocchiaro, Ordinario di diritto privato e di diritto di internet Università di Bologna

Savino Figurati Responsabile Ufficio Legale Unione Industriale Torino

Modera i lavori:

Antonio Matonti, Direttore Affari Legislativi Confindustria.

Per informazioni ed iscrizioni si rimanda alla pagina del sito di Confindustria dedicata all’evento.

posted by admin on maggio 7, 2018

Miscellanee

(No comments)

Il 25 maggio 2018 il nuovo EU Reg. 2016/679 sarà pienamente attuato e, sempre a decorrere dal 25 maggio, il Regolamento abrogherà la direttiva madre.

Tra i principi di legittimità “l’Accountability” rappresenta la novità più rilevante, il Titolare deve infatti essere sempre pronto a dimostrare di aver rispettato e di essersi conformato alle disposizioni.

I principi espressi nell’art. 5. rappresentano pertanto l’architrave del nuovo modo di concepire e realizzare i trattamenti dei dati personali delle persone fisiche; non si potrà più prescindere da essi e da una revisione dei modelli organizzativi aziendali, si renderà necessario verificare che funzionino e che siano efficaci per consentire al titolare di dimostrare, costantemente, la sua conformità.

Il Titolare ad esempio dovrà essere in grado di dimostrare che un trattamento effettuato e la conservazione dei dati stessi sia limitata a quanto strettamente necessario.

L’Accountability passa attraverso la reale consapevolezza dei titolari di come si stia operando all’interno delle proprie organizzazioni e di come questi trattamenti vengano effettuati.

Accountability e Consapevolezza infine non potranno realizzarsi pienamente senza un preciso e rigoroso programma formativo di tutte le persone che, in nome e per conto del Titolare, avranno a che fare a vario titolo con i dati personali trattati.

L’evento si svolge a Roma, il 9 maggio 2018,  presso il Senato della Repubblica – Sala Zuccari,  Via della Dogana Vecchia 29, Roma.

posted by Avv. Matilde Ratti on maggio 3, 2018

Miscellanee

(No comments)

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Quale sistema sanzionatorio è previsto dal Regolamento?

Il Regolamento detta norme specifiche sia sotto il profilo della responsabilità civile, sia sotto il profilo della responsabilità amministrativa. Sono quindi previste regole sia per dirimere il caso in cui un soggetto sia danneggiato dal trattamento effettuato sui suoi dati personali (si pensi alla diffusione illecita di dati personali aventi natura sanitaria), sia per determinare le conseguenze del mancato adempimento da parte del titolare degli obblighi previsti dal Regolamento. Ciò significa che un titolare del trattamento dei dati personali potrà essere chiamato a rispondere sia nei confronti di un privato che ritiene di avere subito un danno per l’illecito trattamento posto in essere, sia nei confronti dell’Autorità garante, che potrà comminare una sanzione amministrativa in caso di violazione delle disposizioni del Regolamento.

Sono previste sanzioni penali?

Il Regolamento non disciplina direttamente il tema della responsabilità penale. Tuttavia, prevede la possibilità per gli Stati membri di introdurre anche sanzioni penali negli ordinamenti nazionali. La delega, però, ha rilevantissimi limiti. Ai sensi del considerando n. 149 del Regolamento il legislatore può introdurre sanzioni penali per le violazioni non soggette a sanzioni amministrative e purché la tutela penale non costituisca una duplicazione della pena in contrasto con il principio del ne bis in idem, caro alla Corte di giustizia europea.

Qual è il tetto massimo previsto per le sanzioni amministrative?

Il Regolamento prevede un tetto massimo assai elevato per le violazioni in materia di protezione dei dati personali. Ad esempio, la sanzione amministrativa potrà arrivare fino a 10 milioni di euro o, se la cifra è superiore, fino al 2% del fatturato mondiale annuo dell’esercizio precedente se non è effettuata la notifica dell’avvenuta violazione dei dati personali o qualora non sia designato il Data Protection Officer. La sanzione potrà anche arrivare a 20 milioni di euro o, se la cifra è superiore, fino al 4% del fatturato mondiale annuo dell’esercizio precedente per le violazioni più gravi. A titolo esemplificativo, è prevista la sanzione con un massimo più elevato per l’inosservanza degli ordini impartiti dall’Autorità garante o per l’illegittimo trasferimento di dati personali in un Paese extraeuropeo.

Quali sono i criteri utilizzati nell’irrogare una sanzione?

Nonostante i tetti massimi previsti per le sanzioni pecuniarie siano assai elevati, occorre precisare che la sanzione amministrativa comminata in concreto dovrà in ogni caso essere proporzionata alla violazione rilevata. In altre parole, nell’irrogare la sanzione amministrativa, l’Autorità garante dovrà necessariamente tenere in conto alcuni indicatori. Ad esempio, dovranno essere considerate la gravità e la durata della violazione, il carattere intenzionale della condotta e gli eventuali benefici finanziari conseguiti a seguito della violazione. Dovranno poi essere tenute in considerazione le misure adottate dal titolare o dal responsabile del trattamento per attenuare il danno subito dagli interessati, le eventuali precedenti violazioni commesse dal titolare del trattamento nonché il grado di cooperazione istaura con l’autorità di controllo al fine di porre rimedio alla violazione e di attenuarne i possibili effetti negativi

Cosa è previsto in materia di responsabilità civile?

Chiunque subisca un danno causato da una violazione del Regolamento ha il diritto di domandare il risarcimento del danno al titolare o al responsabile del trattamento. Tuttavia, il responsabile del trattamento non risponde in ogni caso del danno provocato, ma solo se non ha adempiuto agli obblighi a questi specificatamente diretti dal Regolamento o se ha agito in modo difforme rispetto alle istruzioni impartite dal titolare del trattamento. Qualora più soggetti siano responsabili dell’eventuale danno causato dal trattamento dei dati personali, ognuno di questi sarà tenuto a corrispondere l’intero risarcimento al danneggiato, salvo il diritto a rivalersi sugli altri danneggianti in un secondo momento.

Quali sono i rimedi posti a disposizione dell’interessato?

L’interessato che ritenga che il trattamento che riguarda i suoi dati personali violi il Regolamento può proporre reclamo all’Autorità garante. In particolare, l’interessato potrà rivolgersi sia all’Autorità garante dello Stato membro in cui risiede, sia all’Autorità garante del luogo dove si è verificata la violazione. Così, ad esempio, l’interessato che risiede in Italia potrà proporre reclamo al Garante italiano o potrà rivolgersi all’Autorità garante dello Stato in cui ha subito la violazione. Il provvedimento emesso dall’Autorità garante potrà essere oggetto di ricorso. Le parti coinvolte dalla decisione potranno infatti proporre ricorso contro la decisione dell’Autorità garante dinanzi alle autorità giurisdizionali dello Stato membro in cui è stabilito il Garante che ha emesso la decisione.

Inoltre, la persona fisica che ritiene che un titolare o un responsabile abbia violato i suoi diritti può promuovere un’azione anche direttamente dinanzi all’Autorità giurisdizionale. L’interessato potrà intraprendere l’azione nello Stato membro in cui il titolare o il responsabile hanno uno stabilimento o, alternativamente, nel luogo in cui risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di un altro Stato membro nell’esercizio dei pubblici poteri.

Con quali modalità può agire l’interessato?

L’interessato può agire per la tutela dei suoi diritti in modo autonomo o può scegliere di farsi rappresentare da un’organizzazione o da un’associazione in giudizio. L’associazione o l’organizzazione dovrà però avere “obiettivi statutari” di pubblico interesse e dovrà risultare attiva nel settore protezione dei dati personali.