Il REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) è entrato in vigore il 25 maggio 2018 (GDPR acronimo di General Data Protection Regulation) contiene molte novità in materia di trattamento e sicurezza dei dati.

La direttiva comunitaria 95/46/CE aveva fissato i principi generali in materia di dati personali per consentirne la libera circolazione nel territorio europeo, mentre le direttive comunitarie 2002/58/CE e 2009/136/UE relative al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, hanno introdotto alcune prescrizioni specifiche rispetto alla direttiva 95/46/CE, che riguardano la raccolta di dati personali effettuata on line ed in particolare l’uso di cookie.

Il 4 maggio 2016 sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea i testi del regolamento europeo in materia di protezione dei dati e della direttiva che regola i trattamenti dei dati personali nei settori di prevenzione, contratto e repressione dei crimini (Direttiva (UE) 2016/680).

Il regolamento europeo sulla protezione dei dati (GDPR) rispetta tutti i diritti fondamentali e osserva le libertà sancite dai trattati in particolare il rispetto della vita privata e familiare del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà di impresa, il diritto a un ricorso effettivo e un giudice imparziale, nonché alla diversità culturale e religiosa e linguistica.

Stabilisce nuovi diritti sul trattamento dei dati personali ed introduce nuove regole organizzative per il corretto trattamento dei dati personali fornendo, in tal modo, alla protezione dei dati una cornice più moderna basata sul concetto di responsabilità.

Stabilisce nuovi diritti sul trattamento dei dati personali ed introduce nuove regole organizzative per il corretto trattamento dei dati personali fornendo in tale modo alla protezione dei dati in Europa una cornice più moderna basata sul concetto di responsabilità.

Il GDPR è composto da 173 considerando, XI capi e 99 articoli, ove il termine paragrafo indica il capoverso numerato, mentre il comma, quello non numerato.

Le norme interessano tutti quei soggetti (anche extraeuropei) che sono chiamati a trattare in maniera automatizzata o meno i dati personali. Viene dunque introdotto il principio dell’applicazione del diritto dell’Unione anche ai trattamenti di dati personali non svolti nell’Unione Europea, se relativi all’offerta di beni e servizi a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti. Questa è una grande novità rispetto alla regola precedente, in base alla quale, la normativa applicabile è quella del luogo in cui ha sede il Titolare del trattamento. Social network, piattaforme web e motori di ricerca sono soggetti alla normativa europea anche se gestiti da società con sede fuori dall’Unione.

In capo al titolare del trattamento sono posti obblighi di trasparenza più stringenti rispetto alla normativa precedente. I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità Presupposti di legittimità di trattamento dati sono l’informativa (art.13) ed il consenso (art.7). Andrà precisato il periodo di conservazione dei dati, oppure, i criteri utilizzati per determinare tale periodo.

Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Il consenso dell’interessato, a norma dell’articolo 4 del Regolamento, consiste in qualsiasi forma di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazioni o azioni o azione positiva inequivocabile, che i dati personali siano oggetto di trattamento. Il consenso deve essere informato (preceduto da una informativa) libero (senza condizionamenti o vincoli) specifico (consenso specifico per ogni finalità) inequivocabile (deve esserci certezza che l’interessato l’ha prestato) espresso.

Viene introdotto il diritto all’oblio (art.17) in modo tale che gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano le condizioni previste dal Regolamento, se i dati sono trattati sulla base del consenso; se i dati sono non sono più necessari per gli scopi per cui erano stati raccolti; se i dati sono trattati illecitamente; oppure se l’interessato si oppone legittimamente al loro trattamento. Il titolare del trattamento che ha pubblicato i dati avrà l’obbligo di comunicare la richiesta di cancellazione a chiunque li stia trattando nei limiti di quanto tecnicamente possibile. Il diritto all’oblio potrà essere limitato solo in alcuni casi specifici: per esempio per garantire l’esercizio della libertà di espressione o il diritto di difesa in sede giudiziaria; per tutelare un interesse generale; oppure quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalità statistiche e scientifiche.

Viene previsto l’obbligo di istituire il registro dei trattamenti.

Il Regolamento riconosce inoltre il diritto alla portabilità del dato (data portability), ossia il riconoscimento, sia del diritto dell’interessato a trasferire i propri dati da un sistema di trattamento elettronico ad un altro senza che il titolare possa impedirlo (ad esempio si potrà cambiare provider di posta elettronica senza perdere i contatti e i messaggi), sia del diritto di ottenere gli stessi in un formato elettronico strutturato e di uso comune che consenta di farne ulteriore uso. Ci sono alcune eccezioni che non consentono l’esercizio del diritto; in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.

Il nuovo quadro normativo è incentrato sui doveri e sulla cosiddetta responsabilizzazione del titolare del trattamento (accountability) che dovrà provare di avere adottato tutte le policy privacy e adottato misure adeguate di protezione dei dati (misure di sicurezza).

Si passa dalla concezione formale della privacy ad un approccio sostanziale di tutela dei dati.

La protezione dei dati deve avvenire attraverso un approccio che segua i principi del data protection by default e data protection by design. Si tratta dell’esplicitazione del principio dell’incorporazione della privacy fin dalla progettazione del processo aziendale e degli applicativi informatici di supporto, ovvero della messa in atto di meccanismi per garantire che siano trattati – di default – solo i dati personali necessari per ciascuna finalità specifica di trattamento.

La gestione dei dati non sarà più solo un adempimento ma diventa un processo aziendale che incide sull’organizzazione dell’impresa.

Il Regolamento introduce la figura del Responsabile della Protezione dei Dati o Data Protection Officer (DPO) di cui parliamo in un’altra sezione del sito.

Sulle sanzioni si rileva un aumento rilevante: fino al 4% del fatturato complessivo per i gruppi societari e fino a Euro 20.000.000,00 per i privati e le imprese non facenti parti di gruppi.