1. – Introduzione
Il 24 maggio 2016 è entrato ufficialmente in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali, che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
Il regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Unione europea e per i casi di violazione dei dati personali.
L’informativa diventa sempre di più uno strumento di trasparenza riguardo al trattamento dei dati personali e all’esercizio dei diritti, che sarà più chiara nei contenuti.
2. – Il consenso dell’interessato nel regolamento europeo in materia di protezione dei dati personali
Il consenso dell’interessato al trattamento dei dati personali dovrà essere preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici. Ed è esclusa ogni forma di consenso tacito, nel senso che il silenzio non equivale al consenso.
Inoltre, il consenso potrà essere revocato in ogni momento. I fornitori di servizi Internet e i social media, dovranno richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati personali dei minori di 16 anni.
Le decisioni che producono effetti nella sfera giuridica dell’interessato non potranno essere basate su di un trattamento automatizzato dei dati. È, dunque, prevista, in tal senso, dal regolamento europeo in materia di protezione dei dati personali, una garanzia per l’interessato che consentirà di opporsi alla decisione adottata sulla base di un trattamento automatizzato o il diritto di ottenere anche l’intervento umano rispetto alla decisione stessa.
3. – Il diritto all’oblio
Grazie all’introduzione del cosiddetto diritto all’oblio, gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento.
A questo diritto si accompagna l’obbligo per il titolare del trattamento che ha pubblicato i dati di comunicare la richiesta di cancellazione a chiunque li stia trattando, nei limiti di quanto tecnicamente possibile. Il diritto all’oblio potrà essere limitato solo in alcuni casi specifici: per esempio, per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria; per tutelare un interesse generale come la salute pubblica; oppure quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalità statistiche o scientifiche.
4. – La portabilità dei dati
Il regolamento europeo in materia di protezione dei dati personali introduce il diritto alla portabilità dei propri dati personali per trasferirli da un titolare del trattamento ad un altro. Si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati.
Questo diritto, però, è soggetto ad alcuni limiti e restrizioni. Il regolamento vieta il trasferimento di dati personali verso Paesi situati al di fuori dell’Unione europea o organizzazioni internazionali che non rispondono agli standard di adeguatezza in materia di tutela dei dati.
In assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati potranno essere trasferiti solo con il consenso esplicito dell’interessato, oppure qualora ricorrano particolari condizioni, ad esempio, quando il trasferimento è indispensabile per motivi di interesse pubblico.
Il trasferimento o la comunicazione di dati personali di un cittadino dell’Unione europea ad autorità giudiziarie o amministrative di Paesi terzi potranno avvenire solo sulla base di accordi internazionali di mutua assistenza giudiziaria o attraverso strumenti analoghi.
5. – Gli obblighi del titolare del trattamento
Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali all’Autorità nazionale di protezione dei dati. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Il titolare del trattamento potrà decidere di non informare gli interessati se dimostrerà di avere adottato misure di sicurezza a tutela dei dati violati. L’Autorità di protezione dei dati potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria autonoma valutazione del rischio associato alla violazione.
Imprese ed enti avranno più responsabilità, ma potranno beneficiare di semplificazioni. In caso di inosservanza delle regole sono previste sanzioni, anche elevate. Il regolamento europeo in materia di protezione dei dati personali è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea e non richiede una legge di recepimento nazionale. Inoltre, troverà applicazione per tutte le aziende, ovunque stabilite, che tratteranno i dati personali dei cittadini comunitari.
6. – Lo sportello unico introdotto dal regolamento europeo in materia di protezione dei dati personali
Fra le principali novità del regolamento c’è il cosiddetto sportello unico (onestop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme.
Salvo casi specifici, le imprese stabilite in più Stati membri o che offrono prodotti e servizi in vari Paesi dell’Ue, per risolvere possibili problematiche sull’applicazione e il rispetto del Regolamento potranno rivolgersi ad un solo interlocutore: cioè all’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale.
Il regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
7. – Privacy by design e privacy by default
Il principio chiave è quello contenuto nei due principi presenti nel regolamento. Il primo è quello della privacy by design che è necessario per garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema e adottare comportamenti che consentano di prevenire possibili problematiche.
Il secondo è quello della privacy by default secondo il quale le macchine dovranno essere programmate nel rispetto dei principi generali in tema di protezione dei dati. In tal senso, il regolamento europeo in materia di protezione dei dati personali prevede che vengano effettuate delle valutazioni di impatto prima di procedere ad un trattamento di dati ad alto rischio.
8. – Il data protection officer
Il regolamento europeo in materia di protezione dei dati personali introduce la figura del Responsabile della protezione dei dati (Data Protection Officer), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti.
La figura del responsabile dovrà avere specifiche competenze in materia giuridica ed informatica. Il suo compito principale è quello di gestire il trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.
Il Regolamento promuove il ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti, sottoposti all’approvazione dell’Autorità nazionale di protezione dei dati. Il titolare potrà far certificare i propri trattamenti, in misura parziale o totale, anche ai fini di trasferimenti di dati in Paesi terzi. La certificazione potrà essere rilasciata da un soggetto abilitato oppure dall’Autorità di protezione dei dati.
L’adesione ai codici di condotta e la certificazione del trattamento saranno elementi di cui l’Autorità dovrà tenere conto, per esempio, nell’applicare eventuali sanzioni o nell’analizzare la correttezza di una valutazione di impatto effettuata dal titolare.
Bibliografia
Pizzetti F., Privacy e il diritto europeo alla protezione dei dati. Dalla direttiva 95/46 al nuovo Regolamento europeo, Giappichielli, 2016;
Garante per la protezione dei dati personali, Il nuovo “pacchetto protezione dati”, Pagina informativa, in www.garanteprivacy.it, 2015.
Garante per la protezione dei dati personali, Guida al nuovo Regolamento europeo in materia di protezione dei dati personali, in www.garanteprivacy.it.
This work by consulenzalegale is licensed under a Creative Commons Attribution-NonCommercial-NoDerivs 4.0 International