LE NOVITA' DEL NUOVO REGOLAMENTO SULLA PRIVACY PER CITTADINI E IMPRESE

Autore: Prof.Ruben Razzante – Docente di Diritto dell'informazione all'Università Cattolica di Milano e alla Lumsa di Roma

Dal 25 maggio 2018 sarà applicabile in tutti gli Stati membri dell'Unione europea il nuovo Regolamento europeo sulla protezione dei dati personali, Gdpr, entrato in vigore nell'aprile 2016 e che andrà ad armonizzare le attuali normative nazionali. Tutte le aziende, sia pubbliche che private, che utilizzano ed elaborano dati personali degli utenti, dovranno adeguarvisi.

Il nuovo Regolamento prevede maggiori tutele per il cittadino: il diritto all'oblio (cioè ottenere la cancellazione anche online di dati personali) e alla portabilità (cambiare provider di posta elettronica senza perdere i contatti e i messaggi); il divieto di trasferire i dati personali al di fuori della Ue in assenza di garanzie sul trattamento corretto dei dati; maggiore trasparenza nelle informative che dovranno essere chiare e comprensibili per poter esprimere consapevolmente il proprio consenso. Sono alcuni degli aspetti introdotti dalla normativa e che vengono illustrati nelle linee guida messe a punto dal Garante della privacy per favorirne l'adozione (http://www.garanteprivacy.it/regolamentoue).

Il Regolamento – si legge nella guida del Garante – “introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l'esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento e per i casi di violazione dei dati personali (data breach)”.

Viene introdotta la figura del data protection officer, un professionista che dovrà essere nominato in tutte le aziende interessate dal provvedimento, con l'incarico di assicurare una gestione corretta dei dati personali.

In caso di violazione dei dati personali degli utenti o di attacchi informatici, entro 72 ore dal fatto, l'azienda dovrà inviare una segnalazione all'utente stesso e al Garante nazionale per la privacy.

Il regolamento si basa sul cosiddetto “Privacy by design”, approccio per cui la protezione dei dati personali è garantita già dalla fase di ideazione e progettazione di un trattamento o di un sistema e, da quel momento, devono essere adottati comportamenti che consentano di prevenire i rischi potenziali.

Il consenso al trattamento dei propri dati personali dovrà essere “preventivo e inequivocabile”, anche quando espresso con mezzi elettronici. Per trattare i dati sensibili, il nuovo Regolamento stabilisce che il consenso debba essere “esplicito”, escludendo quindi ogni forma di tacito consenso (il silenzio non equivale cioè al consenso) o l'assenso ottenuto proponendo una serie di opzioni già selezionate. Il consenso può essere revocato in ogni momento.

La guida del Garante precisa inoltre che le decisioni che producono effetti giuridici (come la concessione di un prestito) non potranno essere basate esclusivamente sul trattamento automatizzato dei dati. Sono previste delle eccezioni, come i casi in cui l'interessato abbia dato un consenso esplicito al trattamento automatizzato o quando questo trattamento risulti necessario per la definizione di un contratto o in base a specifici obblighi di legge. Sono comunque sempre previste garanzie per la persona che può opporsi alla decisione adottata sulla base di un trattamento automatizzato o esercitare “il diritto di ottenere anche l'intervento umano rispetto alla decisione stessa”.

Per le aziende e gli enti pubblici che non si adegueranno o non rispetteranno le norme, oltre al danno reputazionale, sono previste sanzioni molto elevate: fino al 4% del fatturato globale, per un valore massimo di 20 milioni di euro. Le multe non saranno peraltro l'unico deterrente. Le aziende assumono, infatti, responsabilità anche penali. Su richiesta dovranno informare utenti e autorità sulla modalità con le quali hanno ottenuto i dati e sviluppare regole speciali per i minori. Sono previste semplificazioni per i soggetti che offrono maggiori garanzie e promuovono sistemi di autoregolamentazione. E' promosso il ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti, sottoposti all'approvazione dell'Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea (in quest'ultimo caso, il codice di condotta avrà applicazione nell'intera Ue). Sarà possibile ottenere una certificazione dei propri trattamenti da parte di un soggetto abilitato oppure dall'Autorità di protezione dei dati. L'Autorità, nell'applicazione di eventuali sanzioni o nelle sue analisi, terrà conto dell'adesione ai codici di condotta e della certificazione del trattamento.

“Il Regolamento – si legge nella guida del Garante - punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell'Unione europea”.