Protezione dei dati personali: il nuovo Regolamento UE

Il Regolamento europeo (UE) 2016/679 concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati è entrato in vigore il 24 maggio 2016 e diventerà direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018.
L’intervento porterà significative innovazioni non soltanto per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni e i liberi professionisti. Per questo motivo, il Garante per la protezione dei dati personali ha pubblicato una guida in merito al fine di spiegare quali saranno le novità che verranno apportate.
Cittadini più garantiti – Innanzitutto, il Regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l'esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).
Inoltre, l’informativa diventa sempre di più uno strumento di trasparenza riguardo al trattamento dei dati personali e all’esercizio dei diritti. Per facilitare la comprensione dei contenuti, nell’informativa si potrà fare ricorso anche a icone, identiche in tutta l’Unione europea. Gli interessati dovranno sapere se i loro dati sono trasmessi al di fuori dell’Ue e con quali garanzie; cosi come dovranno sapere che hanno il diritto di revocare il consenso a determinati trattamenti, come quelli a fini di marketing diretto.
Trattamento dati personali - Il consenso dell’interessato al trattamento dei dati personali dovrà essere, come oggi, preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici (ad esempio, selezionando un’apposita casella in un sito web). Per trattare i dati sensibili, il Regolamento prevede che il consenso deve essere anche “esplicito”.
Viene esclusa ogni forma di consenso tacito (il silenzio, cioè, non equivale al consenso) oppure ottenuto proponendo a un interessato una serie di opzioni già selezionate.
Il consenso potrà essere revocato in ogni momento. Fino ad allora i trattamenti effettuati fino a quel momento dal titolare sulla base del consenso rimarranno comunque legittimi.
I fornitori di servizi Internet e i social media, dovranno richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati personali dei minori di 16 anni.
Trattamento automatizzato di dati – Le decisioni che producono effetti giuridici (come, la concessione di un prestito) non potranno essere basate esclusivamente sul trattamento automatizzato dei dati (ad esempio, la profilazione). Faranno eccezione i casi in cui l’interessato abbia rilasciato un consenso esplicito al trattamento automatizzato dei suoi dati, oppure questo tipo di trattamento risulti strettamente necessario per la definizione di un contratto o avvenga in base a specifici obblighi di legge.
In ogni caso, sono previste garanzie per gli interessati, come il diritto di opporsi alla decisione adottata sulla base di un trattamento automatizzato o il diritto di ottenere anche l’intervento umano rispetto alla decisione stessa. Se il trattamento è finalizzato ad attività di marketing diretto, l’interessato ha sempre il diritto di opporsi alla profilazione.
Diritto all’oblio - Grazie all’introduzione del cosiddetto “diritto all’oblio”, gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento:
• se i dati sono trattati solo sulla base del consenso;
• se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti;
• se i dati sono trattati illecitamente; oppure se l’interessato si oppone legittimamente al loro trattamento.
A questo diritto si accompagna l’obbligo per il titolare del trattamento che ha pubblicato i dati di comunicare la richiesta di cancellazione a chiunque li stia trattando, nei limiti di quanto tecnicamente possibile.
Il diritto all’oblio potrà essere limitato solo in alcuni casi specifici, per esempio:
• per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria;
• per tutelare un interesse generale (ad esempio, la salute pubblica);
• quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalità statistiche o scientifiche.
Le novità per le imprese e gli enti - Imprese ed enti avranno più responsabilità, ma potranno beneficiare di semplificazioni. In caso di inosservanza delle regole sono previste sanzioni, anche elevate.
Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea e non richiede una legge di recepimento nazionale. Inoltre, si applica integralmente alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea.
Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell'Ue. Fra le principali novità del Regolamento c’è il cosiddetto “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Salvo casi specifici, le imprese stabilite in più Stati membri o che offrono prodotti e servizi in vari Paesi dell’Ue, per risolvere possibili problematiche sull’applicazione e il rispetto del Regolamento potranno rivolgersi ad un solo interlocutore: cioè all’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale.
Il Regolamento promuove il ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti, sottoposti all’approvazione dell’Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea (nel caso dell’approvazione da parte della Commissione il codice di condotta avrà applicazione nell’intera Ue). Il titolare potrà far certificare i propri trattamenti, in misura parziale o totale, anche ai fini di trasferimenti di dati in Paesi terzi. La certificazione potrà essere rilasciata da un soggetto abilitato oppure dall’Autorità di protezione dei dati.