Regolamento UE 2016/679: come cambia la protezione dei dati personali a livello Europeo.

Il General Data Protection Regulation o GDPR, è il regolamento generale per la protezione dei dati personali n° 2016/679, la normativa che riforma la legislazione europea in materia di protezione dei dati. Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale Europea ed è entrato in vigore il 24 maggio 2016. Per dare tempo agli stati membri di mettersi a norma con la compliance, l’attuazione del Regolamento è stata posticipata di due anni, cioè il 25 maggio 2018.

Trattandosi di un regolamento non sarà necessario un recepimento, cioè un’inclusione nel proprio ordinamento, da parte degli Stati membri dell’Unione Europea, ma verrà attuato allo stesso modo in tutti i Paesi UE, senza margini di libertà nell’adattamento. Questo è proprio uno dei fini del regolamento: armonizzare il disciplinamento in materia di protezione dei dati personali all'interno dell'Unione europea. In tal senso perciò l’Italia, come d’altronde tutti gli altri Stati, potranno limitarsi ad emanare chiarimenti in relazione ad alcuni aspetti, senza avere una vera e propria loro normativa. 

Da sottolineare che il nuovo regolamento è più esplicito della direttiva 95/46 e proclama, già all’Art.1 par. 2, la tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche.  

“Art. 1 par. 2

Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.”

Base giuridica del trattamento: il consenso

Con il GDPR i titolari del trattamento dovranno identificare la base giuridica del trattamento (ad esempio il consenso dell'interessato) e documentarla, in quanto in relazione alla base giuridica possono variare i diritti. Il consenso per essere valido deve essere formulato in un linguaggio semplice e chiaro e deve sottolineare le finalità in modo esplicito, legittimo, adeguato e pertinente, per i quali i dati verranno trattati (Art. 7 definiti in Art. 4). É stato inoltre rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso. La base giuridica inoltre è tra gli elementi sostanziali dell'informativa e deve essere evidenziata in riscontro ad una istanza di accesso.

Ambito territoriale

Il regolamento generale si applica a tutti i titolari (controller) e ai responsabili (processor) del trattamento dei dati personali, stabiliti sul territorio dell’Unione Europea m anche, in generale, a quelle figure extracomunitarie, che offrono beni e servizi a persone fisiche residenti nell’UE (Art. 3).

Non si applica nei seguenti casi: 

- trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione; 

- trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza); 

- trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse; 

- trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.

Responsabilizzazione

La responsabilizzazione, o accountability, è un punto particolarmente importante del Regolamento. Lo scopo è infatti quello di responsabilizzare il titolare del trattamento, che dovrà concretamente adottare comportamenti proattivi a dimostrazione della pratica adozione del regolamento. Nello specifico si evidenzia il bisogno di attuare misure di tutela e garanzia dei dati trattati, con un approccio che rimette ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel Regolamento: 

- principio "privacy by design", in base al quale i prodotti e i servizi dovranno essere progettati fin dall'inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dal principio, prevedendo le garanzie per tutelare i diritti degli interessati; 

- rischio del trattamento: l’approccio è basato sul rischio del trattamento e le misure di accountability di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati personali, nomina di un RDP-DPO). Le nuove norme prevedono, inoltre: 

- per i cittadini un più facile accesso alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi; 

- un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online; 

- l'istituzionalizzazione del diritto all'oblio (denominato diritto alla cancellazione nel regolamento) come previsto dalla Corte di Giustizia europea, con cui l’interessato deve poter chiedere e ottenere la rimozione dei suoi dati da un qualsiasi database, con la stessa facilità con cui ha espresso il consenso al trattamento; 

- l'obbligo di notifica entro 72 ore dall’attacco, da parte delle aziende delle gravi violazione dei dati dei cittadini; 

- le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del "one stop shop" o sportello unico); 

- multe salatissime, fino al 4% del fatturato globale delle aziende, in caso di violazioni delle norme.

La Guida 

L'Autorità di controllo italiana (Garante Privacy) ha pubblicato una Guida che offre un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento. 

Sono presenti raccomandazione specifiche e suggerite azioni, oltre alla segnalazione delle principali novità, in vista della preparazione all'attuazione del nuovo regolamento.