As it is known, the Regulation (UE) 2016/679 of 27 April 2016 of the European Parliament and of the Council shall apply from 25 May 2018.
This measure on the protection of natural persons with regard to the processing and the free movement of personal data, repeals and replaces Directive 95/46/EC and introduces new fundamental and uniform principles for personal data protection.
Come noto, il Regolamento Europeo n. 679/2016 è il nuovo regolamento in materia di Privacy, cd. GDPR (General Data Protection Regulation), emanato il 27 aprile 2016, pubblicato nella Gazzetta Ufficiale dell’Unione Europea del 4 maggio 2016 e direttamente applicato in tutti i Paesi dell’Unione Europea dal 25 maggio 2018.
Tale provvedimento abroga e sostituisce la direttiva 95/46/CE (recante il «regolamento generale sulla protezione dei dati») che, per anni, ha costituito il fondamento della normativa europea in materia di protezione dei dati personali.
L’obiettivo di tale Regolamento è introdurre regole più chiare e semplici in materia di informativa e consenso, puntando a garantire maggiori tutele per cittadini e rendendo omogeneo ed elevato il livello di protezione dei dati personali, favorendo la circolazione degli stessi all’interno dell’Unione.
Il nuovo testo normativo punta, quindi, a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini.
Sotto il profilo strutturale, il Regolamento Europeo è suddiviso in 11 capi e composto da 99 articoli, preceduti da ben 173 “considerando” volti a chiarire il contesto e le ragioni della nuova normativa.
Nell’ambito delle disposizioni generali del Regolamento, nel Capo I, sono disciplinati l’oggetto e le finalità finalizzate a tutelare le persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati, proteggendo i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
I principi ispiratori che hanno condotto il Legislatore Europeo alla regolamentazione della disciplina in materia di privacy sono enunciati nel Capo II del Regolamento ove, all’articolo 5, sono enunciati i principi di (i) liceità, correttezza e trasparenza, (ii) limitazione della finalità, (iii) minimizzazione dei dati, (iv) esattezza, (v) limitazione della conservazione, (vi) integrità e riservatezza.
Il principio di liceità del trattamento nominato dall’articolo 5 trova specificazione nel successivo articolo 6, a norma del quale Il trattamento è lecito soltanto qualora siano soddisfatti due requisiti: (i) il consenso dell’interessato (da esprimersi in relazione ad “una o più specifiche finalità”, e dunque non genericamente) e (ii) la necessità del trattamento.
Il principio di trasparenza nel trattamento è disciplinato, in particolare, dall’articolo 12, dal quale si evince che le informazioni destinate al pubblico o all’interessato debbano essere facilmente accessibili e di facile comprensione ed espresse con linguaggio semplice e chiaro.
Ciò, nello specifico settore in esame, al fine di assicurare che gli utenti, da un lato, siano sensibilizzati ai rischi e resi edotti delle garanzie relative al trattamento dei propri dati; dall’altro lato, che siano informati circa le finalità specifiche del trattamento, onde consentire loro di valutare se i dati richiesti e le modalità di raccolta e conservazione siano effettivamente in linea con tali finalità.
L’interessato, poi, avrà anche una serie di diritti tra i quali il diritto di accesso – ossia il diritto di richiedere e ottenere dal titolare del trattamento informazioni sul trattamento effettuato dei propri personali – (art. 15), il cd. diritto all’oblio – ovvero il diritto a non restare esposti a tempo indeterminato alle conseguenze dannose che possono derivare al proprio onore o alla propria reputazione da fatti commessi in passato o da vicende nelle quali si è rimasti in qualche modo coinvolti e che sono divenuti oggetto di cronaca – (art. 17), il diritto alla portabilità dei dati – ossia la possibilità di richiedere al titolare una copia dei dati oggetto del trattamento – (art. 20).
Novità, poi, il concetto di accountability, tradotto, nella versione italiana del Regolamento, con il termine “responsabilità”. In realtà, tale concetto rappresenta una sintesi tra la responsabilità e la compliance rispetto alla normativa in esame. L’accountability, in particolare, deve essere intesa come garanzia della conformità di tale attività alla disciplina di settore: conformità che l’operatore – il titolare del trattamento – deve essere in grado di dimostrare in qualsiasi momento.
Ulteriori principi molto importanti sono quelli di privacy by design e privacy by default, introdotti dall’articolo 25, in forza dei quali la protezione dei dati deve essere integrata nell’intero ciclo di vita di una data tecnologia, sin dalla progettazione, e ciò deve avvenire in maniera automatica, appunto di default.
Nel Capo IV, vengono, quindi, disciplinate le misure di sicurezza e l’ipotesi di violazione dei dati personali. In particolare, l’articolo 32, prevede che il titolare del trattamento e il responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. In caso di violazione dei dati personali, ai sensi dei successivi articolo 33 e 34, il titolare del trattamento dovrà notificare la violazione all’autorità di controllo competente e, qualora la violazione dei dati personali comporti un rischio elevato per i diritti e le libertà delle persone fisiche, dovrà comunicare la violazione anche agli interessati.
Il Regolamento, inoltre, ha disciplinato la figura del responsabile della protezione dati personali ovvero del Data Protection Officer (DPO), al quale sono attribuiti importanti compiti ai fini della protezione dei dati e, in primo luogo, quello di sorvegliare l’osservanza del Regolamento. Tale figura deve avere una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e deve avere le capacità necessarie per assolvere i compiti di cui è investito e può essere un dipendente del titolare o del responsabile del trattamento oppure può essere un esterno, incaricato mediante un contratto di servizi.
Da ultimo, il Capo VIII del Regolamento (artt. 77-84), disciplina i mezzi di ricorso, le responsabilità e le sanzioni di natura amministrativa (anche molto rilevanti), prevedendo espressamente, in caso di concorso di responsabilità, un regime di solidarietà passiva.
Il Regolamento sembra contemplare anche la possibilità di una prova liberatoria, in quanto prevede che tanto il titolare quanto il responsabile sono esonerati dalla responsabilità se dimostrano che l’evento dannoso non è loro imputabile.
Giulia Talamazzi