Privacy: le nuove regole europee in vigore dal 25 maggio

Il prossimo 25 maggio entrerà in vigore il regolamento Ue 2016/679 sulla protezione dei dati personali, e sulla loro circolazione. Il regolamento o anche GDPR, (General Data Protection Regulation) sarà direttamente applicabile negli ordinamenti degli stati europei e quindi anche in Italia senza la necessità di decreti di recepimento. In Italia un intervento di raccordo tra il regolamento Ue e la normativa interna  tuttavia è stato effettuato con uno schema di decreto legislativo approvato dal Consiglio dei ministri in esame preliminare nel marzo scorso che porterà alla abrogazione del codice delle privacy.

Il nuovo approccio sulla privacy passa da un modello di trattamento autorizzatorio ad un regime basato sulla responsabilizzazione di chi  gestisce i dati.

Il titolare del trattamento dai dati personali diventa centro di responsabilità e deve dimostrare di avere adottato misure giuridiche, organizzative, tecniche, adeguate per la protezione degli stessi.

Il nuovo Regolamento Ue rappresenta una fonte normativa autonoma per tutti gli Stati membri, e  l’abrogazione del Codice della privacy è dettata da ragioni di coordinamento e semplificazione, ma non aumenta né diminuisce la tutela giuridica già conferita dalle nuove norme.

Per venire in contro agli operatori, l’Autorità garante della privacy (che comunque non sparirà) ha reso disponibile una guida per l’applicazione del Regolamento e vari documenti utili a facilitare la comprensione e l’applicazione del nuovo quadro normativo.

Nonostante la diretta applicabilità e vincolatività del GDPR in tutti i suoi elementi, in Italia vi è la Legge di delegazione europea 2016-2017 (Legge n. 163 del 25 ottobre 2017), e in particolare l’art. 13 delega il Governo ad adottare uno o più decreti legislativi, per adeguare il quadro normativo nazionale alle disposizioni del regolamento.

Secondo i criteri dettati dalla suddetta legge è prevista:

  • l’espressa abrogazione delle disposizioni del codice incompatibili con quelle contenute nel regolamento;
  • la modifica del Codice limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento;
  • il coordinamento delle disposizioni vigenti in materia di protezione dei dati personali con quelle recate dal regolamento (UE) 2016/679.

Ambito di applicazione materiale e territoriale del GDPR

Il regolamento GDPR ha come riferimento la tutela esclusiva dei dati personali, al fine di assicurare la protezione dei diritti e delle libertà delle persone fisiche in maniera equivalente in tutti gli Stati membri e la libera circolazione dei dati, disciplinando i principi e le condizioni per procedere al legittimo trattamento di tali dati.

La definizione di dato personale individuata dal Regolamento è particolarmente ampia, l’art. 4 stabilisce che per dato personale di intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (soggetto interessato).

Gli obiettivi perseguiti dal regolamento richiedono una estensione dell’ambito di applicazione delle sue disposizioni.

Relativamente all’ambito di applicazione materiale, l’articolo 2 specifica che il regolamento si applica al trattamento “interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Quanto all’ambito di applicazione territoriale, l’articolo 3 accoglie il cd. principio di stabilimento, di conseguenza, il regolamento si applica ai trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento stabiliti nel territorio dell’Unione europea, a prescindere dalla circostanza che il trattamento sia o meno Ivi concretamente effettuato e a prescindere dalla nazionalità o dal luogo di residenza dei soggetti interessati.

Il regolamento rende vincolanti le sue norme anche ai titolari del trattamento e responsabili del trattamento non stabiliti nell’Unione europea, quando le attività di trattamento riguardano:

  • l’offerta di beni o la prestazione di servizi nell’Unione europea;
  • il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione europea.

La ratio della norma volta a consentire la tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei loro dati personali, ha condotto all’adozione di un approccio “garantista” dei diritti degli interessati. 

Trattamento dei dati personali e liceità del trattamento

Il Regolamento UE ribadisce i principi che trovano applicazione al trattamento dei dati personali, parte dei quali risultano noti, in quanto già previsti sia dall’attuale Codice privacy sia dalla direttiva 95/46/CE, (liceità, correttezza e trasparenza del trattamento, minimizzazione, limitazione della conservazione, finalità del trattamento).

A questi ultimi si aggiunge l’inedito principio di “responsabilizzazione” in forza del quale il titolare del trattamento è tenuto a porre in essere tutte le misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali degli interessati è effettuato nel rispetto dei principi dettati dall’art. 5 e delle altre norme del GDPR.

Liceità del trattamento

I fondamenti della liceità del trattamento vengono indicati nell’art. 6, del Regolamento Ue, e come viene precisato nella Guida del Garante privacy, coincidono con quelli di cui al D.Lgs. 196/2003.

Il trattamento è considerato lecito quando:

  • l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  • il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  •  il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  •  il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore(non si applica al trattamento dei dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti) .

In virtù del neo regolamento, per il consenso non viene richiesta la forma scritta, tuttavia bisogna provare che l’interessato abbia prestato il consenso ad uno specifico trattamento, il consenso inoltre deve essere libero, specifico, informato ed inequivocabile.

Il soggetto interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.

La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò, inoltre il consenso è revocato con la stessa facilità con cui è accordato.

Il consenso raccolto prima del 25 maggio 2018 rimane valido se conforme ai contenuti del nuovo Regolamento Ue.

Trasparenza nell’informativa

Viene introdotto nel regolamento UE il cd. principio della trasparenza nell’informativa, relativamente alle informazioni che il titolare del trattamento deve fornire all’interessato riguardo alle modalità di trattamento dei dati, da rendere in forma concisa, trasparente, e accessibile, con un linguaggio semplice e chiaro.

Il titolare del trattamento, deve fornire all’interessato una serie di informazioni, come:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • i legittimi interessi perseguiti dal titolare del trattamento o da terzi (nei casi previsti nello specifico dall’art. 6 comma 1 lettera f);
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • se applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale.

Il titolare deve inoltre specificare il periodo di conservazione dei dati, i criteri seguiti per stabilire tale periodo, ed il diritto di presentare un reclamo all’autorità di controllo.

L’informativa viene data generalmente per iscritto (preferibilmente in formato elettronico), se i dati non vengono raccolti direttamente presso l’interessato, l’informativa deve contenere anche le categorie dei dati personali da trattare. 

Diritti degli interessati

Il Regolamento Ue attribuisce ai soggetti interessati cui vengono trattati i dati, diritti specifici come a ricevere informazioni sui propri dati trattati dal titolare/responsabile del trattamento, di accesso ai propri dati personali, di rettifica o cancellazione degli stessi, di limitare il trattamento dei dati, di ricevere le notifiche dal titolare, della portabilità dei dati, di opposizione al trattamento per specifici motivi.

Il termine per la risposta all’interessato è per tutti i diritti da un mese a tre mesi nei casi più complessi.

Tra le novità di rilievo vi è quella dell’introduzione del c.d. diritto all’oblio (art. 17 del Regolamento Ue), ovvero il diritto dell’interessato di ottenere la cancellazione dei propri dati personali da parte del titolare del trattamento.

Tale diritto con il nuovo regolamento  viene rafforzato con un campo di applicazione più esteso di quello precedente.

Tale diritto potrà essere limitato solo in alcuni casi specifici per esempio, per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria.

Vi è poi il diritto di limitazione del trattamento (art. 18 del Regolamento Ue) esercitabile oltre che in caso di violazione dei presupposti di liceità del trattamento, anche se l’interessato chiede la rettifica dei dati o si oppone al loro trattamento.

La limitazione al trattamento può essere ottenuta quando:

  • l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
  • il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
  • benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  • l’interessato si è opposto al trattamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

Di nuova introduzione è il diritto alla portabilità, (art. 20 del Regolamento Ue), che non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei).

Secondo le osservazioni del garante della privacy sono portabili solo i dati trattati con il consenso dell’interessato, o sulla base di un contratto stipulato con l’interessato.

Aspetto sanzionatorio

Il GDPR è un provvedimento che avrà un impatto considerevole sull’attività dei cittadini, e un aspetto importante è costituito dalle sanzioni.

Il regolamento UE indica l’importo massimo delle sanzioni amministrative, è in particolare prevista una sanzione massima fino a 10 milioni di euro, o, per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, per il caso di violazione sugli obblighi del titolare del trattamento e del responsabile del trattamento, nonché sugli obblighi degli organismi di certificazione e di controllo.

Per le altre violazioni si applica la sanzione fino a 20 milioni di euro, o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

L’Autorità che dovrà irrogare le sanzioni è il Garante della privacy con un ruolo centrale per il sistema, le sanzioni dovranno inoltre tenere conto della gravità della violazione, del bene tutelato, del numero di soggetti coinvolti, oltre che dalla natura colposa oppure dolosa della stessa.

Sull’argomento segnaliamo la videoconferenza di Carlo Nocera

Giuseppe Moschella

Scrivi un commento

Accedi per poter inserire un commento