Con l’approvazione da parte del Parlamento, della Commissione e del Consiglio della UE , il pacchetto di riforma sulla tutela dei dati personali GDPR (General Data Protection Regulation),presentato dalla Commissione Europea nel 2012, ha terminato il suo lungo iter di negoziati a dicembre 2015, e nuovo il testo definitivo del Regolamento è entrato in vigore a maggio 2016 per divenire direttamente applicabile in tutti gli Stati membri della Comunità Europea senza necessità di recepimento o altri adempimenti formali a decorrere dal 25 maggio 2018, data in cui aziende, enti, e pubbliche amministrazioni dovranno essere conformi alle nuove regole.
La nuova direttiva punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini. La precedente normativa infatti mostrava i suoi anni, essendo stata formulata nel 1996, in un’epoca in cui Internet non aveva ancora dispiegato tutta la sua ‘potenza di fuoco’ (e tutte le problematiche annesse). Da qui la necessità di ripensare e aggiornare le norme: Nel gennaio 2012 la Commissione europea ha presentato ufficialmente il cosiddetto “pacchetto protezione dati” con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia nell’Ue. Comprendeva:
- un Regolamento, volto a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico
- una Direttiva destinata invece alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione delle sanzioni penali
Le principali novità, dal diritto all’oblio alla portabilità dei dati
Il nuovo Regolamento comprende una serie di novità che interessano sia i cittadini, che le imprese, gli enti pubblici, le associazioni e i liberi professionisti. Tra le principali novità:
- Il diritto all’oblio – si potrà ottenere la cancellazione dei propri dati personali, anche on line, da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento
- se i dati sono trattati solo sulla base del consenso
- se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti
- se i dati sono trattati illecitamente
- se l’interessato si oppone legittimamente al loro trattamento.
Ci sono delle eccezioni in cui può essere limitato: per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria; per tutelare un interesse generale (ad esempio, la salute pubblica); oppure quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalità statistiche o scientifiche.
- Il diritto alla portabilità» dei propri dati personali – Se finora l’uso era pressoché limitato alle compagnie telefoniche, ora riguarda tutti i titolari di trattamento dati, compresi i provider internet. Un esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati. Ci saranno però alcune eccezioni che non consentono l’esercizio del diritto: in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.
- Vietato il trasferimento di dati personali verso Paesi situati al di fuori dell’Ue – La regola vale anche nei casi di organizzazioni internazionali che non rispondono a standard adeguati in materia di tutela dei dati, rispetto ai quali sono previsti criteri di valutazione più stringenti. In assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati potranno essere trasferiti solo con il consenso esplicito dell’interessato, oppure qualora ricorrano particolari condizioni. Il trasferimento o la comunicazione di dati personali di un cittadino dell’Ue ad autorità giudiziarie o amministrative di Paesi terzi potranno avvenire solo sulla base di accordi internazionali di mutua assistenza giudiziaria o attraverso strumenti analoghi.
- Non solo più responsabilità, anche semplificazioni per imprese ed enti – Il Regolamento promuove la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
- Un approccio promosso fin dalla fase di ideazione e progettazione di un trattamento, in modo da adottare comportamenti che consentano di prevenire possibili problematiche
- In compenso, scompaiono alcuni oneri amministrativi come l’obbligo di notificare particolari trattamenti, oppure di sottoporre a verifica preliminare dell’Autorità i trattamenti considerati “a rischio”
Responsabile della protezione dei dati (Data Protection Officer o DPO) – E’ la nuova figura introdotta dal Regolamento, che ha l’incarico di assicurare una gestione corretta dei dati personali nelle imprese e negli enti. Sarà il referente, una sorta di presidio per la privacy in ogni struttura amministrativa, dovrà essere formata e designata per svolgere tale incarico.
ll nuovo testo ha un approccio basato sulla valutazione del rischio che premia i soggetti più responsabili e assicura semplificazioni per i soggetti che offrono maggiori garanzie e promuovono sistemi di autoregolamentazione.
