La legge europea sulla privacy ha cambiato volto.
Il 25 maggio 2018 è, infatti, entrato in vigore il nuovo regolamento UE 2016/679, noto come GDPR, General Data Protection Regulation. “La prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale” così come affermato dall’Autorità Garante Privacy italiana. Dunque, un passo importante nel mondo della privacy, atteso da diversi anni e con cui l’Unione Europea ha inteso riformare la reggenza dei dati personali degli utenti all’interno dei paesi membri, conformando le leggi europee al fine di tutelare il diritto di ognuno ad avere pieno controllo dei dati che lo riguardano. Il nuovo regolamento accoglie norme che, senza alterare l’impianto esistente, consegnano importanti novità rispetto alla precedente disciplina.
Contenuti
Le principali novità introdotte
Il regolamento, anzitutto, si applica a tutti coloro che trattano dati di cittadini europei, a prescindere dalla collocazione della sede del titolare del trattamento ed è diretto a tutti i soggetti che realizzano trattamenti, digitali o cartacei, di dati personali. Sono, poi, previste sanzioni uniformi e nel massimo corrispondenti al 4% del fatturato annuo mondiale del trasgressore o fino a 20 milioni di euro.
Viene, inoltre, sancito il nuovo principio di responsabilizzazione e dovere di rendicontazione (accountability) secondo il quale, il titolare del trattamento è obbligato a mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento”.
Ad arricchire, poi, il criterio di accountability i principi di privacy by design e privacy by default che obbligano l’utilizzo di misure di protezione fin dalla fase di progettazione del trattamento, oltre a disporre un impiego dei dati limitato a specifiche finalità.
Il regolamento, ancora, impone l’obbligo di nominare il Responsabile della protezione dei dati (DPO), che può essere anche esterno all’organizzazione e che ha funzioni di vigilanza.
Le funzioni del titolare del trattamento, poi, diventano più specifiche: viene, infatti, introdotto l’obbligo di tenuta del registro delle attività di trattamento, che raccoglie ogni informazione e documento prescritto dal regolamento. Praticamente, chi effettua un trattamento dati per ragioni professionali, lavorative, economiche, è tenuto ad avere tali registri, inclusi i lavoratori autonomi e le Piccole e Medie imprese.
Viene anche introdotto l’obbligo della DPIA (data protection impact assessment) che aiuta nella valutazione del rischio conseguente a un ipotetico data breach (ossia la violazione di sicurezza, che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati).
Ancora, nel regolamento è previsto che la legge applicabile è sempre quella del soggetto i cui dati vengono trattati: i social network, le piattaforme web e i motori di ricerca sono perciò soggetti alla normativa europea anche se gestiti da società con sede fuori dall’Unione. Vengono, inoltre, introdotti nuovi diritti come, ad esempio, all’art. 20 del GDPR, il diritto alla portabilità dei dati secondo cui “l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti”.
Infine, viene codificato il cosiddetto diritto all’oblio, ossia la possibilità di decidere che i propri dati siano cancellati e non sottoposti ulteriormente ad alcun trattamento.
Diritto all’Oblio: cosa prevede il GDPR
Con il regolamento UE n. 679/2016, GDPR, il diritto all’oblio viene consacrato in una norma apposita, l’art. 17, nel quale trova conferma il diritto ad ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo. Dopo una lunga attesa, allora, si legge una novità sostanziale rispetto al contesto precedente in cui il diritto all’oblio era riconosciuto solo a livello giurisprudenziale e valutato caso per caso.
Il GDPR, in pratica, fa coincidere, nell’art. 17, il diritto all’oblio con il diritto alla cancellazione, ove emerge, in modo chiaro, che affinché l’interessato possa far valere il proprio diritto alla cancellazione, è necessaria la sussistenza di almeno uno dei seguenti motivi:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; (1)
f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.
Nella stessa norma, poi, viene chiarito che il diritto all’oblio non trova applicazione quando il trattamento è reso necessario:
a) per l’esercizio del diritto alla libertà di espressione e d’informazione;
b) per l’adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3;
d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento;
e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
In sintesi, in virtù della citata norma, il cittadino europeo diventa titolare di nuovi diritti: non solo quello di richiedere la cancellazione dei propri dati ma anche di essere avvisato di possibili usi scorretti o minacce informatiche che possono compromettere la riservatezza dei propri dati.
Diritto all’oblio, GDPR e le aziende: quali novità?
L’aggiornamento dell’informativa sulla privacy è stato il primo effetto del nuovo contesto normativo. Ad aziende, enti ed organizzazioni, infatti, è imposto l’obbligo di descrivere in modo chiaro le modalità di raccolta e utilizzo dei dati.
In pratica, l’informativa deve poter offrire al cittadino tutte le informazioni utili per intendere le modalità e finalità di utilizzo dei dati. La normativa sulla privacy, inoltre, riconosce la possibilità di revocare in qualsiasi momento il consenso al trattamento dei dati personali e, consente al cittadino di pretendere un puntuale resoconto delle procedure adottate dalla società per il conseguimento, l’archiviazione e la gestione dei dati.
Non si dimentichi, poi, l’obbligo di specificare il periodo in cui i dati rimangono a disposizione della società, terminato il quale e in assenza di rinnovo esplicito, il trattamento dei dati è da considerarsi una violazione.
Ciò detto, il diritto alla cancellazione scatta quando vengono meno le finalità di utilizzo autorizzate in modo esplicito dall’utente e, come accennato, il soggetto può revocare in qualsiasi momento il consenso, ciononostante esistono particolari eccezioni.
Nel caso in cui venga avanzata richiesta di cancellazione, il diritto all’oblio impone di specificare in modo chiaro l’utilizzo che verrà fatto dei dati una volta soddisfatta la richiesta stessa. Inoltre, è bene sottolineare che le richieste di cancellazione, giudicate manifestamente infondate, potrebbero essere rifiutate. In questo caso, è necessario che l’azienda dimostri al soggetto interessato il motivo per cui la richiesta è stata considerata infondata o eccessiva e, perciò, rifiutata. Sarà chiaro, che ciò che è richiesto, è di prendere in considerazione, con la dovuta attenzione, ogni richiesta, valutando caso per caso se sussistano le condizioni per procedere alla cancellazione dei dati personali del richiedente.
Ciò detto, analizzati i motivi di cui all’art. 17 co. 1, rimane da evidenziare che esiste comunque un margine di discrezionalità, dal momento che il diritto all’oblio non è definito come un diritto assoluto. Esso, infatti, deve essere pur sempre bilanciato con gli altri diritti della società civile, tra i quali, il diritto d’informazione. Appare doveroso ricordare, infatti, che lo spirito del nuovo regolamento consiste nel consentire agli interessati di gestire i loro dati personali, proteggendo al contempo il diritto di informazione al pubblico.
LEGGI ANCHE: Diritto all’oblio cos’è e come applicarlo: ecco tutto quello che c’è da sapere
