Privacy: il Nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR)

Sei qui: Home » Privacy: il Nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR)
Privacy: il Nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR)

Il nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 2016/679 (GDPR), entrato in vigore il 24 maggio 2016, con i suoi 99 articoli ha riscritto la disciplina della Privacy a livello europeo.

Il nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali (GDPR), affronta temi come il diritto d’accesso facilitato e la portabilità dei dati personali, così come il diritto di opposizione, di rettifica, di cancellazione ed il diritto all’oblio. Prende inoltre in esame la gestione della sicurezza dei dati personali in funzione del diritto di riservatezza.

Tra le novità più rilevanti l’ampliamento della tutela in capo all’interessato, ossia il soggetto cui si riferiscono i dati trattati, sino a comprendere diritti quali quelli “all’oblio”, divieti per le attività di profilazione o istituti quali la privacy by design: elementi pensati per rafforzare la protezione dei soggetti anche dalle insidie della nuova era tecnologica e dell’economiadigitale.

Il GDPR in Italia sostituisce l’attuale Codice della Privacy (D.Lgs. 196/2003).  Entro il 25 maggio 2018 tutti dovranno risultare conformi al nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali (GDPR) per non incorrere in pesanti sanzioni.

Il GDPR oltre a presenta elementi di semplificazione contiene anche ulteriori adempimenti ulteriori:

– definisce il concetto di misure tecniche ed organizzative adeguate che sono volte a mettere in pratica con efficacia i principi di protezione dei dati;

– introduce la metodologia della valutazione preventiva d’impatto e la gestione del rischio e delle correlate misure di sicurezza;

– definisce i nuovi ruoli aziendali connessi alla protezione dei dati personali: “data controller” vs l’attuale “titolare” e “data processor” vs l’attuale “responsabile” ed “incaricato”. Tutte le nuove figure, in caso di inadempienza al regolamento, avranno responsabilità dirette di fronte alla Legge;

– introduce la nuova figura di controllo del Data Protection Officer (DPO) che, in assenza di conflitti di interesse ed in piena indipendenza (es. nomina esterna), si occuperà di:

  • verificare l’attuazione e l’applicazione del Regolamento,
  • fornire pareri sulla valutazione d’impatto (PIA),
  • fungere da contatto diretto per qualsiasi problema degli interessati rispetto all’esercizio dei loro diritti e verso il Garante;

– introduce l’obbligo di comunicazione al Garante ed agli Interessati in caso di violazione dei dati personali (data breach);

– definisce un meccanismo sanzionatorio che prevede, nel peggiore dei casi, fino a 20.000.000 euro, o fino al 4% del fatturato mondiale totale annuo sull’esercizio precedente;

– introduce le necessarie garanzie di tutela dei dati personali fin dalla progettazione di un sistema di trattamento (privacy by design) che per impostazione predefinita (privacy by default).

L’impronta del regolamento si orienta verso un maggior rigore, che si manifesta nella previsione di sanzioni più pesanti e di adempimenti più articolati, e comporta una maggiore cautela nel trattamento dei dati.

In particolare, innanzitutto i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, ribadendo quei principi di liceità, correttezza e trasparenza che assumono un’importanza cruciale nell’era tecnologica.
Il trattamento, inoltre, deve essere effettuato per finalità determinate, esplicite e legittime, e successivamente i dati devono essere sempre trattati in un modo che non sia incompatibile con tali finalità.
Per evitare una raccolta indiscriminata dei dati viene poi cristallizzato il principio di minimizzazione dei dati, per cui i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
Ultimo ma non ultimo, i dati devono essere esatti, sempre aggiornati, conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati e con modi che garantiscano in ogni momento sicurezza, integrità e riservatezza.

Il Regolamento è ispirato ad una maggiore trasparenza nella gestione dei dati ed è finalizzato a dare un maggiore controllo al cittadino sull’utilizzo dei suoi dati. In particolare è riconosciuto:

 il diritto di essere informati in modo trasparente e dinamico sui trattamenti effettuati sui dati e l’adozione di politiche privacy e misure adeguate in conformità al Regolamento (principio di accountability- obbligo di rendicontazione);

• il diritto di essere informati sulle violazioni dei propri dati personali (data breaches notification);

• -il diritto di ricevere in un formato di uso comune, e leggibile da dispositivo automatico, i dati personali forniti a un titolare del trattamento e di trasmettere tali dati a un altro titolare del trattamento senza impedimenti (portabilità dei dati).

• La protezione dei dati personali deve essere valutata già nel momento di progettazione di nuove procedure con l’attuazione, quindi, di adeguate misure tecniche e organizzative sia all’atto della progettazione che dell’esecuzione del trattamento (Privacy by design).

• I dati devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario (Privacy by default).

Principio di trasparenza

Con  il cuore delle norme del nuovo regolamento europeo sulla protezione dei dati personali sono rappresentate dalle informazioni che il titolare del trattamento deve fornire all’interessato con riferimento alle modalità di trattamento dei suoi dati, devono sempre essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Qualora l’interessato effettui una richiesta specifica chiedendo l’accesso ai dati, la rettifica, la cancellazione, una limitazione del trattamento, o la portabilità degli stessi, le informazioni oggetto della richiesta devono essere rese senza ritardo e, al più tardi, entro un mese dal ricevimento della richiesta.
Altro aspetto fondamentale è la gratuita dell’esercizio dei diritti poco sopra citati il titolare del trattamento può ottemperare o meno la richiesta Qualora egli decidesse di non ottemperare alla richiesta deve, comunque, entro un mese, comunicare all’interessato il diniego e la sua motivazione, nonché informarlo della possibilità di proporre reclamo innanzi alle autorità di controllo o innanzi alle autorità giudiziarie.
Il titolare deve, inoltre, fornire all’interessato una lunga serie di informazioni, elencate agli artt. 13 e 14 del Regolamento.
L’art. 13 del Regolamento elenca le informazioni che il titolare deve fornire all’interessato qualora i dati personali siano raccolti presso di lui, da fornire anche in caso di modifica delle finalità di un trattamento già in essere, e l’art. 14 elenca quelle da rendersi ove i dati non siano ottenuti presso l’interessato.

Principio di trasparenza: Modalità operative

Il nuovo regolamento europeo sulla protezione dei dati personali prevede modalità tramite le quali le informazioni devono essere fornite.  Il Regolamento statuisce che il titolare del trattamento predisponga i mezzi per inoltrare le richieste per via elettronica, in particolare nel caso in cui i dati personali siano trattati con mezzi elettronici.
Nel caso in cui l’interessato presenti la richiesta mediante mezzi elettronici, le informazioni devono essere fornite in un formato elettronico “di uso comune”, salvo che vi sia un’indicazione diversa da parte dello stesso interessato.
Al fine di evitare che soggetti terzi possano venire illegittimamente a conoscenza dei dati trattati, al titolare spetta, inoltre, il compito di verificare l’identità dell’interessato che richieda l’accesso, adottando tutte le misure ragionevoli.
Con riguardo, infine, ai tempi per l’evasione delle richieste, il titolare del trattamento è tenuto a rispondere “senza ingiustificato ritardo”, al più tardi entro un mese.

Diritto alla portabilità dei dati

Nel nuovo regolamento europeo sulla protezione dei dati personali l’interessato ha diritto di ricevere dal titolare copia dei dati personali oggetto del trattamento,  che ove esperito consente all’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti.
Tale diritto può essere esercitato qualora: il trattamento si basi sul consenso o su un contratto e il trattamento sia effettuato con mezzi automatizzati”.
Sul punto, il considerando n. 68, precisa che il diritto alla portabilità dei dati dovrebbe applicarsi qualora l’interessato abbia fornito i dati personali sulla base del proprio consenso o se il trattamento è necessario per l’esecuzione di un contratto, mentre non dovrebbe applicarsi qualora il trattamento si basi su un fondamento giuridico diverso dal consenso o contratto.
Il diritto alla copia dei dati personali oggetto del trattamento (portabilità dei dati) non si applica, però, in caso di trattamento necessario per l’esecuzione di un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento e, più precisamente, come specificato dal considerando n. 68, non dovrebbe essere esercitato per i trattamenti effettuati nell’esercizio di funzioni pubbliche o pubblici poteri o per l’esecuzione di un compito svolto nel pubblico interesse e quando il trattamento è necessario per l’adempimento di un obbligo legale. Inoltre, il suo esercizio non deve ledere i diritti e le libertà altrui.

diritto all’accesso ai dati personali

Nel nuovo regolamento europeo sulla protezione dei dati personali viene rafforzati ed ampliato  il diritto di accesso dell’interessato al trattamento di dati personali  è stata precisata ed ampliata tutta la disciplina relativa alla trasparenza ed agli obblighi informativi. Il diritto di accesso si configura quale diritto del soggetto interessato di richiedere e ottenere dal titolare del trattamento informazioni sul trattamento di dati personali che viene effettuato. A tale diritto si applica il principio della gratuità.

L’art. 15 del Regolamento definisce il diritto di accesso come il diritto dell’interessato di “ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano” e, qualora sia in corso un trattamento, ha diritto ad ottenere l’accesso ai dati personali trattati, nonché le informazioni ulteriori specificatamente elencate dallo stesso articolo.

In base all’art. 15 del nuovo regolamento europeo sulla protezione dei dati personali il titolare del trattamento è tenuto a fornire ulteriori informazioni, queste, in particolare, sono:
a) le finalità del trattamento;
b) le categorie di dati personali trattati;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
d) il periodo di conservazione dei dati personali previsto, ove possibile, oppure i criteri utilizzati per determinare tale periodo;
e) l’esistenza e la possibilità per l’interessato di esercitare il diritto di rettifica,  il diritto alla cancellazione, il diritto alla limitazione del trattamento,  il diritto di opposizione al trattamento;
f) il diritto di proporre reclamo innanzi alle autorità di controllo;
g) le informazioni sull’origine dei dati, ove non siano stati raccolti presso l’interessato;
h) l’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione e le informazioni significative sulla logica utilizzata.

DIRITTO all’OBLIO

Nel nuovo Regolamento europeo sulla privacy vengono recepiti gli indirizzi giurisprudenziali sul diritto alla cancellazione e le modalità per il suo esercizio.
L’art. 17 nuovo Regolamento europeo sulla privacy norma il diritto alla cancellazione, affermando il diritto dell’interessato a veder cancellati i dati personali che lo riguardano.
Per la sua attuazione occorre distinguere tra due casi: se il trattamento è effettuato subordinatamente alla prestazione del consenso, la revoca dello stesso costituisce requisito necessario e sufficiente ai fini della cancellazione; ove, invece, i dati personali siano stati raccolti per finalità o tipologie di trattamento per le quali il consenso non è richiesto, la cancellazione potrà essere attuata ove i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o trattati.
A carico del titolare del trattamento, in caso di richiesta di cancellazione dei dati e sussistano i predetti requisiti, è posto un obbligo non solo di cancellazione presso i suoi archivi, ma, ove li abbia resi pubblici, anche un obbligo di comunicazione ai soggetti terzi e titolari di differente trattamento dei medesimi dati che stiano trattando dati personali di cui l’interessato ha richiesto la cancellazione.

Possono essere interessanti anche le seguenti pubblicazioni: