Dal 25 maggio 2018 l’attuale Codice in materia di protezione dei dati personali sarà abrogato: la nuova disciplina in materia sarà rappresentata dal Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679), adottato il 27 aprile 2016 da tutti gli Stati UE. Il GDPR andrà a sostituire la Direttiva comunitaria sulla protezione dei dati (Direttiva 95/46/EC), istituita nel 1995, e abrogherà le norme del Codice per la protezione dei dati personali (Dlgs.n.196/2003), che risulteranno con esso incompatibili.
Si tratta di una piccola rivoluzione, attesa ormai da diversi anni viste le importanti novità introdotte da internet e dai social network, il cui percorso è stato in continua salita essendoci in gioco interessi economici consistenti, legati soprattutto alle attività di marketing e di profilazione oltre che i rapporti tra Europa e resto del mondo. Social network, piattaforme web e motori di ricerca saranno infatti soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE.
Tra i punti cardine del Regolamento, di grande interesse per i cittadini, ci sono il diritto all’oblio e alla portabilità dei dati, le notifiche di violazione agli utenti e alle autorità nazionali, le modalità di accesso ai propri dati personali semplificate e la possibilità per le imprese di rivolgersi a un’unica autorità di vigilanza.
Il Codice per la Privacy prevede infatti che gli enti e le imprese, che gestiscono dati sensibili, debbano dimostrare di possedere adeguati sistemi di gestione e protezione dei dati. In caso contrario si profilano sanzioni molto onerose. Le norme sono rivolte quindi ai soggetti pubblici e alle aziende private che raccolgono, elaborano e conservano i dati dei singoli utenti e consumatori.
Accountability e data protection by default and by design
Il regolamento sottolinea l’importanza del principio di responsabilizzazione (accountability) dei titolari e responsabili del trattamento dei dati personali. Queste figure dovranno dimostrare l’adozione delle misure prese per l’applicazione del regolamento. Un criterio relativo a questo principio è il “data protection by default and by design”: il trattamento viene configurato con le necessarie garanzie allo scopo di soddisfare i requisiti della normativa e tutelare i diritti delle persone fisiche. Questa dimostrazione avviene prima di procedere al trattamento vero e proprio dei dati.
Sempre nell’ottica del principio di responsabilizzazione, il bilanciamento fra il legittimo interesse del titolare del trattamento, ovvero il motivo che rende lecito il trattamento, e i diritti della persona fisica non spetta al Garante ma al titolare stesso.
Data Protection Officer-DPO
Il regolamento introduce poi la figura del Responsabile della protezione dei dati (Data Protection Officer-DPO): è una figura nominata all’interno delle autorità pubbliche e degli organismi pubblici, nonché dalle aziende di rilevanti dimensioni, che dovrà assicurare che la normativa sia rispettata facilitando l’attuazione del regolamento da parte del titolare/responsabile e fornendo consulenza circa gli obblighi che ne derivano.
Il consenso e il diritto all’oblio
Le novità del regolamento europeo riguardano anche il tema del consenso. Per i dati sensibili il consenso degli interessati dovrà essere esplicito; per i minori è valido a partire dai 16 anni di età mentre fino a questa soglia anagrafica è necessario quello dei genitori o di chi ne fa le veci. Il titolare del trattamento deve essere sempre in grado di dimostrare e documentare che il consenso sia stato fornito.
A tutela della persona fisica detentrice dei dati è previsto che l’informativa, redatta con un linguaggio chiaro e semplice, facilmente comprensibile e trasparente, debba indicare sempre i dati di contatto del Responsabile della protezione dei dati, il motivo che rende lecito il trattamento, il periodo di conservazione dei dati, ovvero la “scadenza” del trattamento, e se i dati vengono trasferiti in un Paese terzo.
Ogni persona fisica ha diritto ad accedere e a ricevere una copia dei dati personali oggetto del trattamento e anche alla loro cancellazione (“diritto all’oblio”) quando, ad esempio, i dati personali non sono più necessari rispetto alle finalità per cui erano stati raccolti o se sono trattati in modo illecito. Se i titolari hanno reso pubblici i dati devono informare della richiesta di cancellazione anche i terzi titolari che li stiano trattando. Questa richiesta può arrivare dall’utente anche se ha revocato il consenso stesso.
Legacoop Lazio, anche a seguito degli approfondimenti messi a disposizione delle proprie aderenti nell’ambito di incontri seminariali e nel corso dell’ultima Direzione, ricorda alle cooperative che è possibile richiedere servizi di consulenza e accompagnamento ai professionisti dedicati presenti nella Carta dei Servizi.