Regolamento privacy: cosa cambia nel concreto per i cittadini Ue e quali sono i diritti rafforzati dal GDPR

Il 25 maggio è un giorno storico per l’Unione europea e la tutela della privacy: diventa applicabile il GDPR, il nuovo Regolamento europeo in materia di trattamento dei dati personali, 2016/679. Si tratta di un innovativo regolamento che riguarderà tutti coloro che a vario titolo raccolgono e trattano i dati personali e sensibili dei cittadini europei.

Ma cosa cambierà nel concreto per i cittadini europei? In che modo saranno tutelati? Aumentano i loro diritti?

Secondo gli esperti, la maggioranza dei cittadini non ha una reale consapevolezza dell’importanza di proteggere tutte le informazioni e i dati che fornisce a terzi.

Con leggerezza spesso ci si trova a trasferire informazioni rilevanti, senza rendersi conto fino in fondo del fatto che quei dati finiscono per essere elaborati, sviluppati e usati da terzi. E spesso non ci si rende conto dell’immenso valore che hanno i dati che nei modi più disparati vengono diffusi.

La funzione del GDPR, come esplicitato nel testo, è di elevare “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale” a diritto fondamentale. Si tratta di una questione di portata grandissima, e con risvolti potenzialmente enormi.

L’idea di fondo che ha ispirato l’introduzione della nuova normativa sulla privacy è quella di permettere che i cittadini europei abbiano un controllo di gran lunga maggiore sul modo in cui i singoli, le aziende e gli enti pubblici utilizzano le informazioni, e in particolare i dati sensibili, raccolti dagli utenti.

Per dati sensibili si intendono le informazioni che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.

Qui abbiamo sintetizzato il GDPR e i suoi ambiti di applicazione in punti.

L’esigenza da cui è nato il GDPR, è quella di armonizzare e semplificare le norme riguardanti il trasferimento dei dati personali nell’Ue e per far fronte alle sfide date dagli sviluppi tecnologici.

“Non sono tra coloro che ritengono che si tratti di una rivoluzione epocale visto che i suoi principi e, in parte, le sue regole sono già contenuti nella direttiva del 1995. L’elemento chiave è la scelta dello strumento, vale a dire un regolamento, direttamente applicabile, con l’obiettivo di armonizzazione le regole vigenti. Il GDPR riconosce ai cittadini europei una serie di diritti, dall’accesso ai dati alla loro portabilità, dal diritto di opporsi al trattamento al diritto all’oblio. Pone l’accento su consapevolezza e responsabilità“, ha spiegato a TPI.it Maurizio Mensi, professore di Diritto dell’informazione e della comunicazione della Luiss Guido Carli e membro del Servizio giuridico della Commissione europea.

Per semplificare possiamo riassume brevemente quali sono i punti centrali del regolamento:

• Regole più e trasparenti su informativa e consenso
• Definizione e garanzia di nuovi diritti dei cittadini
• Criteri più rigorosi per il trasferimento dei dati al di fuori dell’Ue
• Sanzioni rigorose nei casi di violazione dei dati, data breach (divulgazione, distruzione, perdita, o accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni)
• Rafforzamento del diritto all’oblio
• Aumento della tutela della privacy dei minori di 16 anni

Il GDPR attua un cambio di prospettiva nei confronti del cittadino, che da mero spettatore dell’uso che altri fanno dei propri dati, che non ha alcun controllo su di essi, diventa un “interessato”, con diritti sempre più puntuali.

”

“Il regolamento è un buon punto di riferimento; c’è da chiedersi tuttavia se il suo testo oggi risponda a tutte le esigenze attuali, dal momento che è stato proposto dalla Commissione europea nel gennaio 2012 e diventa applicabile sei anni dopo, un’era geologica nel settore dell’innovazione tecnologica. Il GDPR è il tassello più importante di un mosaico composto da vari altri elementi, quali le direttive PNR ed Enforcement, senza dimenticare la fondamentale direttiva NIS in tema di cybersicurezza, anch’essa del 2016, trasposta nel nostro Paese qualche giorno fa. Aumenta la consapevolezza dei cittadini, ma occorre maggiore sensibilizzazione sui pericoli derivanti dall’uso non corretto degli strumenti di comunicazione elettronica“, prosegue ancora il professor Mensi.

I dati che i cittadini diffondono sono i più disparati, da quelli sui social network alle informazioni comunicate ad aziende, pubblica amministrazione, sanità pubblica, scuola e altre tipologie di servizi.

“Le regole ci sono e debbono essere applicate in modo puntuale e rigoroso. La garanzia che casi come quello di Facebook-Cambridge Analytica non si ripetano non c’è; è aumentata tuttavia la consapevolezza dell’importanza che i cittadini facciano valere i propri diritti e le autorità per la privacy agiscano in modo efficace e tempestivo. In tal senso il GDPR rafforza il sistema delle regole, aumentando il senso di sicurezza dei cittadini europei”, conclude Mensi.

Vediamo ora nello specifico quali sono i diritti contenuti nel GDPR:

Il consenso e tutela del trattamento dei dati

Tra i “nuovi” diritti rafforzati dal GDPR vi è quello al consenso. Si tratta di un diritto già esistente, ma rafforzato nella misura in cui l’interessato deve essere informato su chi utilizzerà i dati, e soprattutto con quale finalità.

Il consenso deve essere libero, specifico, informato e non tacito o presunto, oltre che inequivocabile.

La richiesta di consenso deve rappresentare all’utente, nel momento in cui i dati personali sono ottenuti, le informazioni circa il titolare del trattamento, gli eventuali destinatari nonché le finalità dell’utilizzo dei dati (espresso sia in termini di natura che di durata).

L’utente deve prestare il consenso al trasferimento e al trattamento dei dati in maniera libera e non obbligatoria. I dati richiesti devono essere adeguati, pertinenti e limitati rispetto alla finalità per la quale sono richiesti.

Il consenso non si esaurisce nel momento in cui viene prestato e il cittadino ha diritto ad accedere e intervenire per controllare il trattamento, o rettificare e ritirare il consenso.

I “nuovi” diritti dei cittadini previsti dal GDPR racchiudono inoltre la minimizzazione dei dati raccolti, il che significa che alcune categorie di dati personali sono più importanti di altre e se non strettamente necessarie non devono essere fornite.

Vi sono sono poi categorie di dati per le quali vige il divieto di trattamento, superabile solo nel caso in cui vi sia un consenso esplicito prestato per assolvere a diritti e/o obblighi specifici, per tutelare interessi vitali o anche, tra l’altro, nel caso in cui sia l’interessato a renderli di dominio pubblico. Si tratta perlopiù di dati sensibili come l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, i dati relativi alla salute e alla vita e orientamento sessuale.

Diritto all’accesso

Uno dei diritti fondamentali sottolineati dal nuovo regolamento europeo è connesso alla durata del trattamento dei dati. La persona interessata ha sempre il diritto di accedere alle informazioni sul trattamento e alle finalità per le quali sono adoperati i dati forniti. Gli utenti hanno sempre diritto a sapere per quali fini sono stati adoperati i dati, quali dati sono stati adoperati, a chi sono stati comunicati, il periodo di tempo entro cui i dati saranno conservati.

Gli utenti hanno inoltre la possibilità di esercitare i diritti di rettifica, cancellazione o di limitazione all’uso dei dati, o anche il rifiuto del trattamento, così come il diritto di proporre reclamo presso l’autorità di controllo.

Si tratta di un potere grande che i cittadini hanno, per controllare nel tempo i propri dati e intervenire su di essi.

Accanto ai diritti e alle tutele, vi è da parte di chi raccoglie i dati il dovere di fornire le informazioni richieste senza alcun aggravio economico, salvo il caso in cui risultino manifestamente infondate o eccessive.

Diritto di rettifica e revoca del consenso

Ogni cittadino può rettificare i dati forniti se riscontra che questi siano inesatti, per far sì che gli eventuali errori non possano danneggiarli.

La revoca del consenso può essere esercitata in qualunque momento dal momento che il consenso è un consenso “libero” e il GDPR garantisce il diritto di revocare il consenso con la stessa “libertà”.

 Diritto all’oblio

Si tratta di un principio cardine nell’ambito della tutela della privacy e sicuramente uno dei più rafforzati nel GDPR. Si tratta del diritto alla cancellazione dei propri dati.

I cittadini Ue hanno diritto al fatto che i propri dati vengano cancellati, in stretta relazione alla tutela della propria immagine. Uno dei motivi per cui l’utente è spinto a chiedere la cancellazione dei dati è che quei dati danneggiano la propria immagine.

L’oblio può però essere chiesto anche se i dati trasmessi non siano più necessari alle finalità iniziale. Si tratta di un diritto che gode di ampia tutela, che può essere limitato da diritti più “importanti” come di libertà, espressione, informazione, obbligo legale ecc.

Diritto alla portabilità dei dati

Il diritto alla portabilità dei dati prevede che il cittadino possa trasmettere i propri dati, forniti ad un titolare del trattamento, ad altro titolare.

Il primo titolare dei dati non può opporsi né tantomeno creare impedimenti a tale trasferimento.

Il diritto di opporsi al trattamento dei dati personali

Il diritto di opporsi al trattamento dei dati personali può essere esercitato dal cittadino in qualsiasi momento.