Il GDPR (General Data Protection Regulation) riscrive la disciplina sul trattamento dei dati personali, individuando nuovi diritti e maggiori garanzie per i soggetti interessati, al fine di uniformare le discipline dei vari Stati membri dell’Ue.
Nell’ultimo periodo abbiamo tutti sentito parlare di nuove regole in materia di privacy e del GDPR. Ma che cos’è il GDPR? E perché ci riguarda?
Il GDPR è l’acronimo per General Data Protection Regulation e indica il nuovo regolamento emanato dall’Unione Europea (reg. Ue 2016/679) sulla protezione dei dati personali, che entrerà ufficialmente in vigore per tutti gli Stati membri il 25 maggio 2018.
Il GDPR sarà, infatti, direttamente applicabile negli ordinamenti degli Stati europei, senza la necessità di adozione di apposita normativa interna; anche se in Italia si è comunque ritenuto necessario adottare uno schema di decreto legislativo, al fine di uniformare la nostra legislazione interna con le regole europee. Raccordo che in sostanza porterà all’abrogazione, in Italia, del Codice della privacy (D. Lgs. 196/2003).
Indice
GDPR: a chi si applica e che cosa regolamenta
Il GDPR, con i 99 articoli di cui si compone, ha sostanzialmente riscritto la disciplina sulla privacy a livello europeo, al fine di assicurare la tutela dei dati personali e disciplinare la loro circolazione in maniera uniforme in tutti gli Stati membri dell’Ue.
Il regolamento europeo si preoccupa, innanzitutto, di dare una definizione, particolarmente ampia, di “dato personale”, stabilendo che per esso si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. La persona cui il dato personale si riferisce viene indicata, invece, come “soggetto interessato” (al trattamento dei dati).
Il GDPR, come già detto, si applica su tutto il territorio dell’Unione e vede, quali diretti destinatari, i titolari o responsabili del trattamento (ossia chi gestisce i dati personali: privati e, soprattutto, aziende), che abbiano sede nel territorio dell’Unione europea, a prescindere dalla nazionalità o dal luogo di residenza dei soggetti interessati e dalla circostanza che il trattamento sia o meno concretamente effettuato all’interno dell’Ue.
Il regolamento si applica anche ai titolari/responsabili del trattamento non stabiliti nell’Unione europea, quando le attività di trattamento riguardano:
- l’offerta di beni o la prestazione di servizi nell’Unione europea;
- il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione europea.
Principi e condizioni del trattamento legittimo dei dati personali
Come già previsto dal Codice della privacy, il nuovo regolamento europeo stabilisce che il trattamento dei dati personali deve avvenire nel rispetto dei principi di liceità, correttezza e trasparenza del trattamento, minimizzazione, limitazione della conservazione, finalità del trattamento.
A questi principi, già noti nel nostro ordinamento, il GDPR aggiunge l’inedito principio di “responsabilizzazione”, che impone al titolare del trattamento l’obbligo di porre in essere tutte le misure tecniche e organizzative necessarie per garantire ed essere in grado di dimostrare che il trattamento dei dati personali degli interessati è effettuato nel rispetto dei principi dettati dal GDPR.
Giusto al fine di assicurare l’osservanza del GDPR, viene anche istituzionalizzata a livello europeo una figura già nota in alcuni Stati: il data protection officer, assunto tra i dipendenti dell’azienda o presso una società esterna, con il ruolo di vigilare sull’applicazione effettiva della GDPR da parte del suo titolare.
Ai fini della legittimità del trattamento dei dati, occorrerà, innanzitutto, che il soggetto interessato abbia espresso validamente il consenso al trattamento dei propri dati personali; consenso che può essere revocato in qualsiasi momento. Il consenso raccolto prima del 25 maggio 2018 rimane valido se conforme ai contenuti del nuovo GDPR.
A tal fine, il titolare del trattamento deve fornire al soggetto interessato informazioni chiare e trasparenti circa le modalità di trattamento dei dati, quali: l’identità e i dati di contatto del titolare del trattamento; le finalità del trattamento cui sono destinati i dati personali; i legittimi interessi perseguiti dal titolare del trattamento o da terzi; se applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale; il periodo di conservazione dei dati ed i criteri seguiti per stabilire tale periodo; il diritto di presentare un reclamo all’autorità di controllo; etc. Tale informativa viene data generalmente per iscritto, specie ove i dati non vengono raccolti direttamente presso l’interessato (per es. tramite il web).
Il principio di minimizzazione dei dati, al fine di evitare una raccolta indiscriminata dei dati personali, impone che i dati raccolti siano pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Il trattamento deve, infatti, essere effettuato per finalità determinate, esplicite e legittime, e i dati raccolti devono essere sempre trattati in modo compatibile con tali finalità.
Ultimo ma non ultimo, i dati devono essere sempre aggiornati, conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati e con modi che garantiscano in ogni momento sicurezza, integrità e riservatezza. Qualora il titolare del trattamento subisca la perdita, distruzione o diffusione indebita di dati sensibili, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti e quant’altro (c.d. data breach), il GDPR prevede l’obbligo in capo a questi di comunicarlo entro 72 ore al Garante per la privacy.
I diritti dei soggetti interessati al trattamento nel GDPR
Ai soggetti interessati al trattamento, il GDPR riconosce numerosi diritti. Oltre ai “canonici” diritti a ricevere informazioni sui propri dati trattati dal titolare del trattamento, di accesso e di rettifica o cancellazione degli stessi, il GDPR introduce anche nuovi diritti per gli interessati.
Viene in rilievo, innanzitutto, il c.d. diritto all’oblio, vale a dire il diritto dell’interessato di ottenere istantaneamente la cancellazione dei propri dati personali da parte del titolare del trattamento. Tale diritto potrà essere limitato solo in alcuni casi specifici (ad es., per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria).
Vi è poi il diritto di limitazione del trattamento, che l’interessato può esercitare, ad esempio, in caso di contestazione dell’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati; piuttosto che in caso di opposizione alla cancellazione dei dati personali, necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Di nuova introduzione è anche il diritto alla portabilità, per cui l’interessato ha diritto di ricevere dal titolare copia dei dati personali oggetto del trattamento e di trasmettere tali dati a un altro titolare del trattamento. Tale diritto si applica solo in caso di trattamento automatizzato dei dati (e cioè non ai dati raccolti in registri cartacei) e può essere esercitato solo qualora il trattamento si basi sul consenso o su un contratto tra l’interessato e il titolare al trattamento.
Violazione del GDPR: le sanzioni
Com’è già detto, il GDPR entrerà in vigore il 25 maggio 2018. A tale data, pertanto, tutti i gestori di dati personali dovranno essere in regola con la nuova normativa. In caso di sua violazione, infatti, scatteranno delle sanzioni alquanto salate.
È in particolare prevista l’irrogazione di una multa fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, per il caso di violazione sugli obblighi del titolare del trattamento e del responsabile del trattamento, nonché sugli obblighi degli organismi di certificazione e di controllo. Per le altre violazioni si applica la sanzione fino a 20 milioni di euro, o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
L’Autorità competente ad applicare le sanzioni è il Garante della privacy, che valuterà la gravità della violazione, nonché l’eventuale negligenza o volontarietà di chi l’ha posta in essere.
Attesa le difficoltà che incontreranno, specie le piccole aziende, nell’adeguarsi alla nuova normativa, non è ancora chiaro se il Garante alla privacy, allineandosi alla posizione già intrapresa dal suo omologo francese, consentirà un periodo di “tolleranza” della durata di 6 mesi, per consentire alle aziende ritardatarie di evitare le pesanti sanzioni previste. Fermo restando che l’impresa dovrà comunque dimostrare di avere avviato un piano di adeguamento ed essere consapevole della priorità di conformarsi alla disciplina del regolamento.
Sul sito istituzionale del Garante della Privacy sono state comunque rese disponibili guide e commenti all’applicazione della normativa, che dovrebbero coadiuvare i destinatari nella procedura di conformazione alle nuove regole.