Il Regolamento Europeo n. 679/2016, conosciuto come GDPR (General Data Protection Regulation), concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, è entrato in vigore il 25 maggio 2016 e diventerà direttamente applicabile in tutti gli Stati membri a partire dal 25 Maggio 2018.
Il GDPR nasce da precise esigenze di certezza giuridica, di armonizzazione e di maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo.
Tutto ciò, tenendo conto delle sempre più avvertite esigenze di tutela dei dati personali da parte dei cittadini dell’Unione Europea.
Preoccupano però, le disposizioni che hanno attribuito agli Stati membri la possibilità di legiferare in autonomia, al fine di “precisare” le norme contenute nel GDPR. Si tratta di una sorta di contraddizione rispetto all’iniziale visione dell’UE, poiché potrebbero sorgere contrasti tra il Regolamento e le leggi nazionali adottate per allinearsi alle nuove indicazioni.
Cosa cambia con il GDPR:
- Vengono introdotte regole più chiare sull’ informativa e il consenso;
- Vengono definiti i limiti al trattamento automatizzato dei dati personali;
- Si pongono le basi per l’esercizio di nuovi diritti;
- Vengono stabiliti criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue;
- Vengono fissate norme rigorose per i casi di violazione dei dati (data breach).
Queste norme si applicano anche alle imprese situate al di fuori dell’Unione Europea, che offrono servizi o prodotti all’interno del mercato europeo. Tutte le aziende, ovunque stabilite, dovranno rispettare le nuove regole. Le responsabilità per le imprese ed enti saranno maggiori e, in caso di inosservanza delle regole, le sanzioni pesanti.
Portabilità dei dati:
Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali, per trasferirli da un titolare del trattamento ad un altro.
La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico.
In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personali verso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.
Il principio di “responsabilizzazione” è stato introdotto per i titolari del trattamento il principio di responsabilizzazione, la c.d. accountability.
Si tratta di un approccio che prende maggiormente in considerazione i rischi che un determinato trattamento di dati personali può comportare ai diritti e alle libertà degli interessati.
Data breach:
Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante della Privacy.
Rispondere in modo efficace ad un data breach richiede un approccio multidisciplinare, integrato ed una maggiore cooperazione a livello europeo.
Per le aziende italiane sarà necessaria l’adozione del Registro dei trattamenti dei dati personali, ma preliminarmente dovranno comprendere l’importanza e il valore dei dati, nonché i danni economici legati a una loro perdita.
Il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati ed offrire indicazioni su come intende limitare i danni.
Potrà decidere di non informare gli interessati nel caso in cui: riterrà che la violazione non comporti un rischio elevato per i loro diritti; dimostrerà di aver già adottato le misure di sicurezza; nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio.
In quest’ ultimo caso, il titolare dovrà provvedere con una comunicazione pubblica.
L’Autorità Garante potrà sempre imporre al titolare del trattamento di informare gli interessati, sulla base di una propria valutazione dei rischi, correlati alla violazione commessa.
La figura del DPO (Data Protection Officer):
Il DPO (Responsabile della protezione dei dati), nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:
- possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
- adempiere le sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
- operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.
Al DPO vengono attribuite risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
Diritto all’oblio:
La vera novità del Regolamento europeo riguarda il “diritto alla cancellazione” o “diritto all’oblio”, previsto nell’articolo 17.
Si tratta del diritto alla cancellazione dei dati di una persona fisica.
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
- i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento;
- l’interessato si oppone al trattamento, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
- I dati personali sono stati trattati illecitamente;
- I dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- Il titolare del trattamento, se ha reso pubblici i dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali, della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.