Entrerà in vigore il 25 maggio 2018 il nuovo regolamento sulla privacy, il GDPR, e con esso le nuove regole che rivoluzioneranno la modalità di raccolta, accesso, archiviazione e gestione dei dati personali degli utenti
Avv. Claudio Ruggieri
Il prossimo 25 maggio segnerà una svolta epocale per quanto riguarda la normativa in tema di privacy. Ed infatti, da tale data, entrerà in vigore il nuovo GDPR (Generala data protection regulation), in esecuzione del regolamento UE 2016/679, abolendo contestualmente l’attuale codice della privacy, in vigore dal 2003.
Quali saranno le principali novità contenute nella nuova normativa?
Rispetto alle normative del passato, il nuovo regolamento allarga la prospettiva. Se fino ad oggi, in materia di data protection, si è posta l’attenzione principalmente alle persone fisiche , è ora il dato in quanto tale ad essere al centro dei riflettori. In sostanza, il dato personale, diventato essenziale per la conoscenza e l’elaborazione delle informazioni, e per lo sviluppo del business aziendale, necessita di una nuova normativa che ne regoli l’uso uniforme negli Stati Europei. Diventa vera e propria materia di scambio, dall’altissimo valore e con regole di condivisione sul mercato ben definite. Le novità principali riguardano le regole sul trattamento dei dati personali, che non potrà essere limitato nel tempo ma funzionale al motivo per il quale sono stati raccolti. Il consenso del consumatorecliente, inoltre, dovrà essere esplicito e le modalità di utilizzo dei dati dovranno essere spiegate in modo chiaro e semplice, non dovrà obbligatoriamente esser documentato in forma scritta ma bisognerà adottare mezzi idonei a configurare l’inequivocabilità del consenso. Così, ad esempio, non sarà ammessa la forma tacita o presunta, così come le caselle pre-spuntate su un modulo. Sarà previsto il diritto all’opposizione al trattamento dei dati personali, così come dovrà esser fornita un’informativa necessaria a garantire il corretto e trasparente uso dei dati. L’informativa dovrà esser scritta in maniera concisa, trasparente, intelligibile per l’interessato e facilmente accessibile.
Particolare rilevanza, all’ interno della nuova normativa, assume il c.d. “diritto all’ oblio”, che viene espressamente introdotto dall’ art. 17 GDPR: “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione”.
Per quanto concerne, invece, alle modalità di detenzione e trattamento dei dati, saranno imposte nuove obbligazioni, come la tenuta del registro per le attività di trattamento (obbligatoria per le aziende che superano i 250 dipendenti, ma consigliata in tutti i casi), nuove procedure, come l’avviso rispetto a qualunque violazione dei dati, i cosiddetti data breach, ma anche figure innovative, come il Responsabile di quanto detto fin ora, cioè della privacy. Il ruolo del Responsabile della protezione dei dati, data protection officer (Dpo), è obbligatorio per gli esercizi pubblici, mentre per gli enti privati può essere nominato solo “quando i trattamenti effettuati sono rischiosi per la generalità degli interessati”, cioè quando c’è un monitoraggio dei soggetti coinvolti su larga scala. Il ruolo di Responsabile della protezione dei dati può essere affidato sia a dipendenti interni alla società, che a terzi del tutto estranei alla società stessa. Il Responsabile gode di una certa indipendenza dal proprio datore di lavoro, in quanto il suo compito prevede il controllo del proprio datore di lavoro stesso. Il GDPR stabilisce che la violazione di sicurezza sul trattamento dei dati personali viene riscontrata quando vi è distruzione, perdita, modifica e divulgazione – accidentale o illecita – dei dati.
In caso di violazioni, l’azienda deve:
- Notificare la violazione entro 72 ore alle Autorità di controllo;
- Segnalare alla vittima la violazione.
Con il nuovo regolamento, in Italia, l’obbligo viene esteso a tutti i titolari di dati. Per tutte le aziende che non si adeguano in tempo al nuovo regolamento, il rischio è di subire multe salatissime, che possono arrivare fino a €20 milioni o al 4% del fatturato globale.