Tutte le novità sul trattamento dei dati personali: Regolamento n. 2016/679
L’aumento esponenziale dei servizi online e la presenza sempre più pressante dei social network nelle nostre vite portano con se’ evidenti rischi collegati al trattamento dei dati personali, rischi che minano il diritto personale di ogni cittadino alla privacy.
In questo quadro, i crescenti problemi di sicurezza e la conseguente necessità di accedere alle informazioni personali per fini investigativi o preventivi, hanno reso obsoleti e non più applicabili i precedenti tentativi di porre una regolamentazione al trattamento dei dati personali (si veda per esempio la Direttiva 95/46/CE del 1995), con il risultato di un ripensamento dell’intero comparto normativo tramite il Regolamento 2016/679.
Pubblicato nella Gazzetta Ufficiale il 4 Maggio del 2016 ed entrato in vigore il 24 Maggio dello stesso anno, il General Data Protection Regulation (GDPR) verrà attuato dopo i consueti due anni, esattamente il 25 Maggio del 2018.
Rispetto alla Direttiva, il Regolamento non necessita di recepimento da parte degli Stati ma verrà attuato ugualmente da tutti i Paesi membri senza margini di libertà; non sarà quindi necessaria una normativa italiana che lo implementi.
Il Regolamento mette l’accento in particolare sulla “responsabilizzazione” (accountability) del titolare e dei responsabili del trattamento dei dati, lasciando a questi il compito di decidere autonomamente le modalità ed i limiti del trattamento stesso, nel rispetto dei criteri specifici indicati dal Regolamento.
Il GDPR è incentrato non tanto sulla protezione dell’utente come persona, come accadeva nei tentativi precedenti, ma sulla protezione totale dei soli suoi dati tramite un approccio basato sulla valutazione del rischio ( risk based), con il quale si determina la misura della responsabilità del titolare in base alla natura, alla portata, alle finalità ed al contesto del trattamento.
Ogni “pacchetto” di dati personali sarà trattato in modo specifico, a seconda della base giuridica su cui poggerà; fondamentale in questo senso è il principio della trasparenza rispetto alla finalità, pensato per stabilire correttamente quali dati possono essere trattati e quali no. In sostanza, vigerà il principio dell’essenzialità dei dati, per cui a seconda del tipo di finalità del trattamento vi saranno diversi diritti.
L’adeguamento per le aziende dovrà essere effettuato entro il termine stabilito: tutti i dati da loro trattati dovranno essere revisionati, ne dovranno essere verificate le basi giuridiche ed il conseguente impatto per i soggetti interessati.
Tra le tante prescrizioni presenti nel regolamento alcune meritano di essere menzionate.
Innanzitutto, quelle che riguardano i fondamenti di liceità del trattamento dei dati personali: in generale sono state apportate modifiche rispetto alla forma del documento, che non dovrà più essere necessariamente scritto (a rischio del titolare che dovrà essere comunque in grado di dimostrare il consenso “esplicito” dell’interessato); modifiche in merito alla soglia d’età minima valida per il consenso ma con possibilità di abbassamento del limite dalla normativa nazionale e, infine, modifiche rispetto alle precedenti modulistiche che prevedevano un consenso tacito o presunto, che non saranno più valide.
Infine, meritano uno spazio le principali novità che hanno come soggetto il titolare, o il responsabile, del trattamento. In questo senso il regolamento disciplina una contitolarità del trattamento ed impone ai titolari di definire, in modo specifico e tramite atto giuridicamente valido, il loro ambito di responsabilità con riguardo particolare all’esercizio dei diritti degli interessati ed obbliga i responsabili ad eseguire una serie di procedure predefinite volte ad avere il pieno controllo e a garantire la massima sicurezza dei dati persona
