Questo regolamento (n.2016/679) che è contenuto all’interno del “Pacchetto protezione dati” dell’Unione Europea, oltre a rinforzare le garanzie in materia di privacy per i cittadini europei, ne stabilisce delle nuove. Si tratta di un regolamento che non necessita di leggi di recepimento, ma viene applicato in maniera automatica nelle legislazioni dei Paesi membri dell’UE. Richiede solo un lavoro da parte dei vari stati di “armonizzazione” con le proprie leggi interne per evitare controversie.
L’Italia, ad esempio, si sta mettendo in pari col regolamento. Le commissioni Speciali per l’esame di atti urgenti del governo della Camera e del Senato hanno, infatti, continuato il dibattito sullo schema di dlgs che recepisce il provvedimento europeo e raccorda le disposizioni italiane in materia. A causa di un ritardo della trasmissione del testo da parte dell’esecutivo uscente, per un certo periodo potrebbe esserci una sovrapposizione tra le nuove disposizioni europee e il vecchio codice della privacy attualmente in vigore.
Leggi anche Privacy: le nuove regole europee in vigore dal 25 maggio
A chi viene applicato il GDPR?
Il GDPR si applica alle persone, le società e le organizzazioni che, in Europa, raccolgono e gestiscono qualunque tipo di dato personale: da quelli per l’organizzazione interna delle risorse umane a quelle che con i dati ci fanno gli affari, inclusi i colossi statunitensi da Facebook a Google. Colossi che durante le recenti settimane hanno dovuto adeguare le proprie condizioni d’uso e politiche per la privacy secondo l’indicazione fornita dai 99 articoli del regolamento citato.
Come va fornito il consenso?
Grazie al GDPR si rendono più chiare le aree specifiche relative a dati, consenso, responsabilità, sicurezza, controlli e sanzioni. Il consenso alla raccolta e al trattamento da parte degli utenti va fornito in modo inequivocabile: non con caselle precompilate, ma con una casella da spuntare.
Portabilità secondo il GDPR
L’art 20 del GDPR, permette al soggetto di riutilizzare i propri dati (oggetti di trattamento da parte di un titolare) per altri scopi o anche su altre piattaforme. I dati in questione devono essere forniti da dispositivi automatici in un formato leggibile che possa essere in grado di poter essere memorizzato su un dispositivo personale, per poi poterli traslocare da un’altra parte, come ad esempio sui social.
La notifica
L’Art. 33 del regolamento stabilisce che qualsiasi violazione dei dati debba essere notificata attraverso una serie di informazioni specifiche agli interessati entro tre giorni (72 ore).
Il responsabile della protezione dei dati e il controllo
Viene istituita la figura del Dpo, Data protection officer, vale a dire una figura separata dal titolare che ha il compito di garantire la messa in pratica delle diverse norme previste, una sorta di watchdog del titolare. Si tratta di una verifica interna, in quanto ogni Paese deve assegnare il controllo a specifiche autorità che vengono nominate dal Parlamento, dall’esecutivo o da un altro organismo indipendente. In Italia, ad esempio, abbiamo il Garante per la protezione dei dati personali.
I minori
Per offrire servizi ai minori di 16 anni, l’Art. 8 del regolamento prevede che ci debba essere un’autorizzazione da parte dei genitori o del tutore del minorenne. I Paesi potranno modulare questa soglia, ma senza portarla sotto ai 13 anni di età.
Il diritto all’oblio
L’Art. 17 del GDPR prevede il diritto all’oblio, ovvero una cancellazione rafforzata dei propri dati in specifiche situazioni:
- quando i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati,
- quando si revoca o ci si oppone al consenso e se non sussiste altro trattamento giuridico per il trattamento,
- quando i dati sono stati raccolti in modo illecito o questo venga imposto dal diritto dell’Unione o di uno Stato membro,
- quando i dati sono stati raccolti mentre l’utente era minore.
C’è una novità importante: la richiesta inoltrata al primo che ha trattato i dati, gli comporta l’obbligo di trasmetterla a tutti coloro che li hanno poi utilizzati o li utilizzano. Il diritto all’oblio non va applicato se il trattamento è necessario per:
- l’esercizio del diritto alla libertà di espressione e di informazione,
- motivi di interesse pubblico nel settore della sanità pubblica,
- fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
- l’occorrenza in sede giudiziaria.
Le sanzioni
Vengono inasprite le sanzioni amministrative pecunarie. Ora le multe possono toccare i 10 milioni di euro o il 2% del volume d’affari globale quando viene riscontrata la violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione e alla mancata o errata notificazione e/o comunicazione di un data breach all’autorità nazionale competente.
Ma anche fino a 20 milioni di euro e 4% del fatturato quando vi è l’inosservanza di un ordine imposto da un’autorità o il trasferimento illecito di dati personali ad un destinatario di un Paese terzo. Le singole autorità nazionali mantengono i loro margini interpretativi per stabilire la gravità delle violazioni.
Sull’argomento segnaliamo
Il nuovo regolamento privacy
Aggiornato con lo schema di decreto per l’adeguamento della normativa nazionale alle disposizioni UE (approvato in CdM il 21 marzo 2018)La data del 25 maggio 2018 segna l’entrata in vigore del nuovo Regolamento UE 2016/679 ma non fuga dubbi interpretativi e di ordine pratico della nuova disciplina. Strutturato in forma di quesiti, il testo, in oltre 200 domande e risposte, esplica termini, modalità e obblighi derivanti dalla nuova disciplina, con qualche anticipazione su aspetti di rilievo contenuti nello schema di decreto legislativo recante le disposizioni per l’adeguamento della normativa nazionale al Regolamento. Completa il volume l’appendice normativa contenente i “considerando” e l’intero Regolamento.CARLO NOCERAAvvocato in Roma, dopo avere maturato un’esperienza accademica di oltre un lustro in “Diritto dell’informazione e della comunicazione” si occupa da diversi anni di questioni legali in materia di trattamento e protezione dei dati personali e di reati informatici. Collabora stabilmente con i più prestigiosi quotidiani giuridico-economici e svolge assidua attività di formazione per primarie Società di formazione nonché per Ordini professionali ed Enti istituzionali.
Carlo Nocera | 2018 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento