La nuova normativa europea sulla privacy
Regolamento GDPR: il nuovo approccio di responsabilizzazione di chi gestisce i dati.
Il 25 maggio dello scorso anno è entrato in vigore il regolamento dell’Unione Europea 2016/679 sulla protezione dei dati personali e sulla loro circolazione. Il GDPR (General Data Protection Regulation) è applicabile nei vari ordinamenti degli stati UE e, quindi, anche in Italia.
Il nuovo approccio sulla privacy passa da un modello di trattamento autorizzatorio ad un regime basato sulla responsabilizzazione di chi gestisce i dati.
Il titolare del trattamento dei dati personali diventa centro di responsabilità e deve dimostrare di avere adottato misure giuridiche, organizzative, tecniche, adeguate per la protezione degli stessi.
Nonostante la diretta applicabilità e vincolatività del GDPR in tutti i suoi elementi, in Italia vi è la Legge di delegazione europea numero 163 del 25 ottobre 2017, e in particolare l’articolo 13 delega il Governo ad adottare uno o più decreti legislativi, per adeguare il quadro normativo nazionale alle disposizioni del regolamento.
Il fine ultimo della nuova normativa è la tutela dei dati personali, al fine di assicurare la protezione dei diritti e delle libertà delle persone fisiche in maniera equivalente in tutti gli Stati membri e la libera circolazione dei dati, disciplinando i principi e le condizioni per procedere al legittimo trattamento di tali dati.
Per ‘’dato personale’’ si intende: ‘’qualsiasi informazione riguardante una persona fisica identifica o identificabile’’, che vengono trattati in modo intero o parziale su qualsiasi territorio dell’UE, a prescindere dalla nazionalità o dal luogo di residenza dei soggetti interessati.
Il principio di responsabilizzazione diventa fondamento del titolare del trattamento, poiché è tenuto a porre in essere tutte le misure tecniche e organizzative adeguate per garantire il rispetto dei principi stessi.
Tra questi emerge il principio di liceità. Infatti il trattamento è considerato lecito quando:
-L’interessato ha espresso il consenso al trattamento dei propri dati personali.
-Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
-Il trattamento è fondamentale per adempiere un obbligo legale.
-Il trattamento è essenziale per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
-Il trattamento è indispensabile per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
-Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgono gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
Inoltre viene introdotto nel regolamento il principio della trasparenza nell’informativa, relativamente alle informazioni che il titolare del trattamento deve fornire all’interessato, in forma concisa, trasparente ed accessibile, con un linguaggio semplice e chiaro.
Le informazioni possono essere: l’identità, i dati di contatto del titolare e del responsabile, le finalità del trattamento, gli interessi perseguiti, gli eventuali destinatari, etc.
Ovviamente ai soggetti interessati vengono dati diritti specifici come ricevere informazioni sui proprio dati trattati dal responsabile del trattamento, di accesso ai propri dati personali, di rettifica o cancellazione degli stessi, di limitare il trattamento dei dati, di ricevere le notifiche del titolare, delle portabilità dei dati, di opposizione al trattamento per specifici motivi.
Tra le novità vi è l’introduzione del diritto all’oblio, ovvero il diritto dell’interessato di ottenere la cancellazione dei propri dati personali da parte del titolare del trattamento.
Ciò può avvenire: quanto l’interessato contesta l’esattezza dei dati personali, quando il trattamento è illecito, quando i dati sono essenziali in sede giudiziaria, quando l’interessato si è apposto al trattamento.