GDPR: cosa cambierà con il nuovo regolamento europeo sulla privacy

Il 25 maggio 2018 diventa applicabile in tutti i paesi Ue il GDPR 2018, il nuovo Regolamento europeo in materia di trattamento dei dati personali, 2016/679. Si tratta di una data importante per tutti i soggetti che, a vari livelli, hanno a che fare con i dati personali altrui e con il loro trattamento.

L’idea di fondo che ha ispirato l’introduzione della nuova normativa sulla privacy è quella di permettere che i cittadini europei abbiano un controllo molto maggiore sul modo in cui i singoli, le aziende e gli enti pubblici utilizzano le informazioni, e in particolare i dati sensibili, raccolti dagli utenti.

Per dati sensibili si intendono le informazioni che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.

Ma cosa cambierà concretamente in Europa? Cosa si dovrà fare per rispettare la nuova normativa? Quali sono le sanzioni, pesanti, a cui si potrà andare incontro?

I regolamenti europei sono atti giuridici direttamente applicabili in tutti i paesi dell’Unione europea, senza dovere essere trasposti in una legge nazionale.

L’esigenza da cui è nato il GDPR, è quella di armonizzare e semplificare le norme riguardanti il trasferimento dei dati personali dall’Ue verso altre parti del mondo per far fronte alle sfide date dagli sviluppi tecnologici.

Allo stato attuale, vi è inoltre l’assenza di una reale consapevolezza, da parte dei cittadini, dell’importanza di proteggere tutte le informazioni che comunicano a terzi.

Per semplificare, prima di scendere nel dettaglio e capire cos’è il GDPR e cosa cambierà con la sua introduzione, possiamo riassume brevemente quali sono i punti centrali del regolamento:

• Regole più e trasparenti su informativa e consenso
• Definizione e garanzia di nuovi diritti dei cittadini
• Criteri più rigorosi per il trasferimento dei dati al di fuori dell’Ue
• Sanzioni rigorose nei casi di violazione dei dati, data breach (divulgazione, distruzione, perdita, o accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni)
• Rafforzamento del diritto all’oblio
• Aumento della tutela della privacy dei minori di 16 anni

Cos’è il GDPR

Il cosiddetto GDPR è la più grande revisione delle norme sulla privacy online sin dalla nascita di Internet, che darà ai cittadini europei il diritto di sapere quali dati sono memorizzati su di essi e tutelerà il diritto di vederli cancellati.

Il regolamento generale sulla protezione dei dati (General Data Protection Regulation- Regolamento UE 2016/679) è un regolamento con il quale la Commissione europea vuole rafforzare e rendere più omogenea la protezione dei dati personali di cittadini sia all’interno che all’esterno dei confini dell’Unione europea.

Il testo ,approvato il 14 aprile 2016 dal Parlamento europeo, pubblicato su Gazzetta Ufficiale europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.

Il nuovo regolamento in materia dei dati personali conferisce ai regolatori il potere di multare le multinazionali fino al 4 per cento del loro fatturato globale o 20 milioni di euro se non rispetteranno  i severi requisiti di protezione dei dati.

Cosa cambia realmente dal 25 maggio 2018

Per tutti i dati sensibili sarà necessario un consenso esplicito dell’interessato. Per quanto riguarda i minori, il consenso sarà considerato valido a partire dai 16 anni, prima di quell’età il consenso deve essere espresso da un genitore o da chi ne fa le veci.

Proprio come nelle normative sulla privacy precedenti, il consenso deve essere libero, specifico, informato e non tacito o presunto, oltre che inequivocabile.

I consensi raccolti prima del 25 maggio saranno considerati validi se conformi a quanto prescritto dal nuovo regolamento, altrimenti dovranno essere di nuovo raccolti.

Il nuovo regolamento europeo esplicita in maniera più puntuale e ampia rispetto alle norme precedenti, tutto ciò che deve essere contenuto sull’informativa sulla privacy. Questi sono gli elementi che non potranno mancare:

• i dati di contatto del Responsabile della protezione dei dati (Data Protection Officer);
• la base giuridica del trattamento;
• l’interesse legittimo;
• se è previsto un trasferimento di dati personali in Paesi terzi e, se sì, con quali mezzi;
• il periodo di conservazione dei dati;
• l’esposizione del diritto di presentare un reclamo all’autorità di controllo;
• l’indicazione della logica dei processi decisionali impiegata e le conseguenze per l’interessato, nei soli casi in cui il trattamento concerna processi decisionali automatizzati come, ad esempio, la profilazione.

L’informativa sulla privacy deve essere consegnata non oltre 1 mese dalla raccolta oppure al momento della comunicazione a terzi o all’interessato dei dati.

L’informativa sulla privacy, oltre a contenere gli elementi che abbiamo già menzionato, deve avere forma concisa, trasparente, intellegibile e accessibile, dotata di linguaggio chiaro e comprensibile. Può avere forma scritta, formato elettronico o orale.

L’interessato che ha fornito i dati sensibili, ha diritto al fatto che gli sia messa a disposizione l’informativa prima che vengano raccolti i dati e se cambiano le finalità del trattamento deve essere informato.

I diritti di cui gode chi fornisce i propri dati sensibili di ampliano sensibilmente, che in particolare avrà il diritto all’accesso ai dati che ha fornito, gli dovrà essere comunicato il periodo di conservazione dei dati. Viene inoltre sottolineato e rafforzato il diritto all’oblio, ovvero il diritto di cancellazione dei propri dati.

Tra gli altri diritti previsti dal GDPR, vi è il diritto di limitazione del trattamento, ovvero l’interessato potrà richiedere la cancellazione o la rettifica dei dati nel caso di trattamento illecito e il diritto alla portabilità dei dati, ovvero, la possibilità che il titolare trasferisca i dati portabili ad altro titolare indicato dall’interessato e con il suo consenso.

La nuova normativa sulla privacy prevede due figure: il titolare del trattamento e il responsabile del trattamento.

Il titolare è chi decide il motivo e le modalità del trattamento. Il titolare del trattamento è colui che è giuridicamente responsabile nel caso in cui non siano rispettati gli obblighi previsti dal GDPR. Il titolare, con un contratto, designa poi il Responsabile del trattamento, che gestisce il trattamento dei dati.

Il Regolamento europeo introdurrà inoltre la figura dei “sub-responsabili del trattamento” da parte del Responsabile, per determinate attività.

L’idea innovativa introdotta dal GDPR è quella di introdurre un meccanismo di responsabilizzazione dei titolari e dei responsabili del trattamento, per far sì che il Regolamento sia applicato correttamente.

Tra i compiti del titolare vi è inoltre quello di valutare i rischi che possono  minare la libertà e i diritti degli interessati. Il titolare dovrà prevedere i rischi ed essere in grado di fronteggiarli.

Per far sì che i dati siano trattati in modo lecito e trasparente, la normativa richiede che i titolari e i responsabili debbano in primo luogo tenere il registro dei trattamenti (nel caso degli organismi con più di 250 dipendenti). In secondo luogo, adottare misure di sicurezza, notificare le violazioni dei dati personali all’autorità di controllo, entro 72 ore dalla scoperta, e designare un responsabile della protezione dei dati.

Un’altra importantissima novità introdotta dal regolamento europeo prevedere il venir meno dell’autorizzazione nazionale.

Il trasferimento dei dati a paesi terzi, potrà avvenire anche senza l’autorizzazione nazionale del Garante, a differenza di quanto invece vigeva con il precedente Codice della privacy.