Claudia Promutico

Le novità del Regolamento europeo in materia di protezione dei dati personali

Dell’Avv. Claudia Promutico

 

 

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento relativo al trattamento dei dati personali che andrà a sostituire il Codice della Privacy attualmente in vigore in Italia. Il Regolamento in commento riconosce ampi diritti ai cittadini e impone alle imprese e alla Pubblica Amministrazione una forte responsabilizzazione in relazione al trattamento dei dati introducendo una normativa uniforme e valida in tutta Europa.

Per comprendere l’ambito applicativo della nuova disciplina occorre fare riferimento a due definizioni: quella di “dati personali” e quella di “trattamento di dati personali”.

Per dati personali si intende qualsiasi informazione concernente una persona fisica identificata o identificabile, quindi i dati anagrafici, l’indirizzo di posta elettronica, il numero di telefono ecc.

Per “trattamento di dati personali” si intende una qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di mezzi automatizzati applicate a dati personali. In altri termini, si fa riferimento alle attività di raccolta, registrazione, organizzazione, adattamento, modifica, uso o comunicazione di dati personali.

Il Regolamento, inoltre, si applica al trattamento dei dati personali totalmente o parzialmente automatizzato, a quello non automatizzato nonché ai dati contenuti in un archivio. 

Il trattamento non automatizzato consiste nell’organizzazione manuale di dati contenuti in un archivio. 

Il trattamento automatizzato, invece, consiste nell’utilizzo dei dati personali al fine di valutare determinati aspetti personali, propri della persona fisica ovvero per analizzare aspetti della sua situazione economica o di salute, i suoi interessi, il rendimento professionale. 

All’interno del trattamento automatizzato rientra anche l’attività di profilazione effettuata dai siti web, pertanto, le novità introdotte dal Regolamento in commento sono dirette a tutti i titolari del trattamento che offrono servizi web i quali, conformemente a quanto dettato nell’informativa, dovranno rendere noto all’utente le modalità e le finalità dell’acquisto dei dati che devono essere conformi alle finalità indicate, in ossequio ai principi di pertinenza e di proporzionalità.

In merito alle caratteristiche dell’informativa privacy il nuovo Regolamento specifica che la stessa deve essere concisa, trasparente, intellegibile e accessibile nonché dotata di un linguaggio chiaro e comprensibile. Inoltre, può essere fornita in forma scritta o orale.

Tra le novità del predetto Regolamento vi è l’introduzione di un procedimento mirato alla responsabilizzazione dei Titolari e dei Responsabili del trattamento, chiamati entrambi ad adottare tutti i comportamenti e le misure idonee ad assicurare la corretta applicazione della normativa.

Il Titolare del trattamento è colui che è tenuto a decidere il motivo e le modalità del trattamento ed è responsabile dell’inottemperanza degli obblighi previsti dalla normativa in materia di protezione dei dati personali. Quest’ultimo mediante contratto o altro atto equipollente è chiamato a designare il Responsabile del trattamento, che è colui che gestisce il trattamento dei dati ad eccezione della scelta dei mezzi e delle modalità del trattamento che, come specificato, spetta al Titolare.

La nuova normativa inoltre ha dettato diversi criteri che i Titolari e i Responsabili del trattamento devono seguire: il criterio del “data protection by default and by design” che implica un’analisi iniziale delle garanzie indispensabili al fine di rispettare tutti i requisiti previsti dalla legge. Ne consegue che occorrerà tenere conto del contesto nel quale il trattamento dei dati si colloca e dei rischi relativi ai diritti e alle libertà degli interessati.

Nello specifico il concetto di privacy by default fa riferimento alla necessità di tutelare la vita privata dei cittadini di default, ossia come impostazione predefinita dell’organizzazione aziendale.

Il concetto di privacy by design, invece, stabilisce che la protezione dei dati deve avvenire fin dal disegno e/o dalla progettazione di un processo aziendale. Pertanto, ogni azienda deve effettuare la c.d. valutazione dell’impatto privacy ovvero una puntuale e dettagliata valutazione dei rischi delle libertà e dei diritti degli interessati. 

Ulteriore criterio è quello del rischio relativo al trattamento ossia la valutazione dei rischi che possono intaccare le libertà ed i diritti degli interessati. 

Il titolare non solo dovrà prevedere i suddetti rischi ma anche predisporre delle tecniche organizzative in grado di fronteggiarli.

La nuova legge, inoltre, estende il campo del diritto all’oblio che sancisce il diritto ad ottenere la cancellazione dei propri dati personali dalle notizie e anche dai motori di ricerca qualora il motivo che ha reso legittima quella pubblicazione non risulti più di pubblica utilità. Con la nuova normativa il diritto all’oblio del cittadino potrà essere limitato unicamente per garantire la libertà di espressione volta alla tutela di un interesse generale o quando i dati, trattati in forma anonima dal Titolare siano necessari per la ricerca storica o per finalità scientifiche.

Novità rilevanti si riscontrano anche nel campo delle violazioni dei dati (data breach) in quanto la nuova normativa introduce il diritto per tutti i cittadini di conoscere la violazione dei dati che le aziende saranno obbligate a comunicare al Garante. Le sanzioni previste dal Regolamento prevedono pene pecuniarie fino ad un massimo di venti milioni di euro o fino al 4% del fatturato.

La portata innovativa del Regolamento avrà un notevole impatto soprattutto nei confronti delle  imprese di piccole dimensioni che dovranno affrontare le difficoltà e i costi derivanti dalla necessità di adeguarsi ai cambiamenti organizzativi e procedurali richiesti dalla nuova normativa. 

Write a Reply or Comment