Il 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo sulla privacy. Oggetto del provvedimento è l’applicazione di norme relative alla protezione delle persone fisiche, con riferimento al trattamento dei dati personali. L’ambito di applicazione materiale del regolamento è circoscritto al trattamento automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. In una guida pubblicata sul suo sito Internet il Garante nazionale per la privacy ha illustrato le principali novità introdotte dall’atto comunitario.
Fondamenti di liceità del trattamento.. Il regolamento conferma in sostanza quelli previsti dalla disciplina nazionale (dlgs 196/2003). Alcuni cambiamenti riguardano il consenso dell’interessato al trattamento dei dati sensibili (e cioè quelli riguardanti origine razziale, opinioni politiche, convinzioni religiose, vita sessuale e stato di salute dell’individuo). In base all’art.9 del provvedimento l’assenso deve essere esplicito al fine dell’utilizzo dei suddetti dati. Sul consenso in generale l’atto europeo non prevede la necessità della forma scritta, che pure rileva a configurare l’inequivocabilità dell’accettazione dell’interessato. Infine c’è una previsione relativa ai minori, il cui consenso è valido a partire dai 16 anni. Il regolamento conferisce una posizione residuale alla categoria dell’interesse vitale di soggetti terzi. Il trattamento di dati personali fondato sull’interesse vitale di altre persone fisiche può avere luogo solamente quando esso non può essere imperniato su altra base giuridica. Un esempio di tale applicazione può essere dato dall’uso dei dati personali per fini umanitari. Infine, nell’ottica dell’applicazione del “principio di responsabilizzazione”, il regolamento prevede che il titolare di interessi legittimi sui dati personali debba essere responsabile per il bilanciamento tra i suddetti interessi e i diritti dell’individuo a cui afferiscono i dati. Viene comunque data la priorità ai diritti dell’interessato, che deve potersi ragionevolmente attendere un trattamento dei dati personali da parte del titolare.
Informativa. Il regolamento indica in modo tassativo i contenuti dell’informativa sul trattamento: dati di contatto del responsabile della protezione dei dati, base giuridica del trattamento e possibili interessi legittimi. Il titolare deve specificare la durata del periodo di conservazione dei dati. Deve altresì indicare i criteri alla base di trattamenti decisionali automatizzati, come la profilazione. Con questo termine si intende l’insieme di attività, raccolta ed elaborazione dei dati inerenti agli utenti di servizi per suddividerli in gruppi di comportamento. I dati personali non raccolti presso l’interessato sottintendono, in base alla nuova normativa comunitaria, un’informativa adeguata nel termine di un mese. Per quanto concerne le modalità dell’informativa, è prescritto un linguaggio conciso, trasparente e facilmente intelligibile per l’interessato. Specificatamente per i minori è consigliato di adottare prescrizioni chiari e semplici. Viene data preferenza alla comunicazione elettronica per esigenze di semplificazione. In alcune situazioni, infatti, la presenza di molteplici interessi alla base dell’utilizzo dei dati non consente una facile comprensione all’interessato.
Diritti degli interessati. In relazione al diritto all’accesso in ogni caso l’interessato al trattamento dei dati ha il diritto a ricevere una copia dei dati oggetto di utilizzo. Tra le informazioni da fornire non rientrano obbligatoriamente le modalità del trattamento. E’ previsto un rafforzamento del diritto all’oblio: i titolari di dati personali che hanno ricevuto richieste di cancellazione saranno obbligati a comunicarle anche ad altri soggetti che hanno utilizzato gli stessi dati. L’interessato può chiedere la cancellazione dei suoi dati anche dopo la revoca del consenso al trattamento. Il regolamento estende, poi, la portata del diritto alla limitazione del trattamento. Esso può essere esercitato in caso di: violazione dei presupposti di liceità del trattamento, opposizione e richieste di rettifica allo stesso. L’applicazione di tale facoltà preclude qualsiasi azione sui dati personali dell’interessato, ad eccezione della conservazione. Infine un diritto del tutto inedito previsto dal nuovo regolamento è quello inerente alla portabilità dei dati. Esso si sostanzia nella possibilità da parte dell’interessato di trasmettere i dati concessi ad un titolare ad altro soggetto, che diventa a sua volta titolare delle informazioni senza impedimenti. Sono portabili solo i dati trattati con il consenso dell’interessato e specificamente forniti al titolare.
Responsabili del trattamento . Il regolamento fissa con maggiore dettagliatezza gli standard con cui il titolare deve designare un responsabile del trattamento: ciò deve essere fatto con contratto, che deve disciplinare adeguatamente le garanzie a tutela dell’interessato. Si prevede la nomina di sub-responsabili del trattamento, ad opera degli incaricati di prima assegnazione. La responsabilità per inadempimenti dei sub-responsabili è attribuita al responsabile nominato dal titolare. I responsabili del trattamento avranno, inoltre, compiti particolarmente finalizzati alla salvaguardia dei diritti degli interessati. Tali funzionalità sono: la nomina di un responsabile della protezione dei dati, la tenuta di un registro dei trattamenti e l’adozione di misure tecniche e organizzative per la sicurezza dei dati.
Responsabilità di titolari e responsabili del trattamento. Come accennato in precedenza, grande importanza è posta dalle istituzioni comunitarie sul principio della responsabilizzazione delle operazioni relative al trattamento dei dati. Tale principio si esplica attraverso diversi criteri. Il primo, c.d. data protection by default and design, prevede l’indicazione delle garanzie per il trattamento dei dati in una fase preliminare al trattamento stesso. Il secondo criterio, inerente al rischio legato al trattamento, presuppone una valutazione da parte del titolare sulle problematiche inerenti ad un possibile utilizzo dei dati. Tale fase prevede una concertazione con l’Autorità Garante, che però non può subentrare al titolare nell’adozione della decisione. L’intervento del Garante si qualifica quindi come successivo alle azioni del titolare: vengono pertanto aboliti istituti come la notifica preventiva e la verifica preliminare. I rischi per i diritti e libertà delle persone fisiche possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, o qualsiasi altro danno economico o sociale significativo. Il rischio è un fattore da considerare in base a valutazioni oggettive nel contesto dei diritti soggettivi dell’individuo.
Trasferimenti internazionali di dati. Viene meno l’obbligatorietà dell’autorizzazione in capo al Garante, che avrà voce in capitolo solo per il trasferimento con clausole contrattuali ad hoc o sulla base di accordi stipulati con amministrazioni pubbliche. A garanzia degli interessati al trattamento dei dati, sono previste l’adesione dei titolari a codici di condotta e la formazione di impegni contrattuali nell’ambito di un trasferimento delle informazioni. Solo interessi pubblici importanti e riconosciuti dal diritto dello Stato Membro del titolare possono dare adito a trasferimenti verso paesi terzi riconosciuti non adeguati dal dettato della normativa.
