A cura di Francesco Luongo
Avvocato Cassazionista e Vicepresidente Fondazione UNIREC-Consumatori
Il GDPR (General Data Protection Regulation) sostituirà dal 25 maggio 2018 le normative nazionali in materia di privacy modificando l’intero approccio gestionale da parte di imprese ed enti pubblici al trattamento dei dati. Il nuovo regolamento europeo in fatto di privacy si pone nel solco dei principi generali del rispetto della vita privata e familiare di ogni persona (art.7 Carta dei diritti fondamentali dell’Unione Europea) e della protezione dei dati personali (art.8 Carta dei diritti fondamentali dell’Unione Europea), diritti che le normative nazionali, basate sulla precedente Direttiva 95/46/CE, non sono più in grado di garantire di fronte all’aumento esponenziale delle attività di raccolta e condivisione dei dati di soggetti privati ed istituzioni, della rivoluzione tecnologica, dell’utilizzo dei big data e dei trattamenti automatizzati.
Obblighi e responsabilità: cosa cambia?
Il nuovo Regolamento europeo sulla privacy mira dunque ad assicurare ai dati personali dei cittadini dell’Unione Europea una protezione omogenea nel caso di trattamento interamente o parzialmente automatizzato ovunque lo stesso abbia luogo.
Ecco quindi profilarsi nuovi obblighi per il Titolare ed il Responsabile del trattamento, entrambi chiamati a ricalibrare totalmente l’approccio alla gestione dei sistemi di trattamento.
Al fine di garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema e adottare comportamenti che consentano di prevenire problematiche, il GDPR 2018 promuove la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche proattive mediante “Accountability” che tengano conto costantemente del rischio che un determinato trattamento può comportare (Risk based approach) per i diritti e le libertà degli interessati. Nella ipotesi di contitolarità del trattamento, è necessario determinare mediante accordi interni le rispettive responsabilità sul rispetto del Regolamento e con riguardo all’esercizio dei diritti dell’interessato.
Con la General Data Protection Regulation cambia l’informativa obbligatoria che dovrà contenere anche il periodo di conservazione dei dati, l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale, il diritto dell’interessato di proporre reclamo ad un’autorità di controllo, l’esistenza di un processo decisionale automatizzato, compresa la profilazione.
Dopo le tante controversie sui consensi più o meno impliciti, acquisterà un peso maggiore il carattere dell’inequivocabilità attribuito alla manifestazione di volontà con cui l’interessato esplicita il proprio assenso al trattamento.
Di particolare importanza la nuova regolazione in materia di “Data breach”, con il nuovo Regolamento europeo per la privacy che estende a tutti i Titolari e Responsabili l’obbligo di comunicazione al Garante dell’avvenuta violazione dei dati personali, quali che siano i trattamenti posti in essere.
Regolamentato anche il “diritto all’oblio”, consistente nella cancellazione immediata dei dati personali in presenza di determinate condizioni che ne rendono impossibile il proseguimento del trattamento.
Più impegnativa per le imprese sarà la gestione del “diritto alla portabilità” che comporterà l’obbligo dei titolari di sviluppare formati interoperabili che ne permettano la facile trasmissione ad altro titolare. L’interessato avrà il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Tale garanzia verrà meno laddove la decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare del trattamento, oppure autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e, da ultimo, qualora si basi sul consenso esplicito dell’interessato.
Per tutti i trattamenti che prevedono l’uso di “nuove tecnologie” si rende obbligatoria la nuova e fondamentale “Valutazione d’impatto sulla protezione dati” (DPIA Data Protection Impact Assessment) che si sostanzia nella valutazione degli aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato ovvero su un trattamento su larga scala. Quale contenuto minimo della valutazione si individua la descrizione sistematica dei trattamenti previsti e delle finalità, compresi l’interesse legittimo perseguito dal titolare, la valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, la valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, nonché le misure per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento.
Ulteriore novità introdotta dal GDPR rispetto all’attuale regolamento sulla privacy è la figura del “Responsabile della protezione dei dati“ (DPO Data Protection Officer) che può avere sede nella UE o extra UE, purché siano garantite le informazioni di contatto e la raggiungibilità: trattasi di una nuova figura aziendale assolutamente indipendente dalla governance e deputata a sorvegliare l’osservanza degli obblighi sulla protezione dei dati posti in capo al titolare o al responsabile del trattamento. Da sottolineare che, in caso di inosservanza degli obblighi sulla protezione dei dati, i soggetti responsabili restano il titolare o il responsabile, mai il DPO.
In occasione della valutazione di impatto sulla protezione dei dati, il DPO sarà chiamato ad esprimersi sull’opportunità di una DPIA, sulla migliore metodologia da adottare, sulle salvaguardie da applicare e in un’analisi ex post verificherà se le conclusioni raggiunte siano conformi ai requisiti in materia di protezione dei dati.
Sotto l’aspetto dell’enforcement, assisteremo ad un inasprimento delle sanzioni amministrative a carico di imprese e P.A. fino ad un massimo di 10 milioni di euro. Gli strumenti posti a tutela dell’interessato saranno utilizzabili direttamente, ma anche avvalendosi di un’associazione i cui obiettivi statutari siano di pubblico interesse ed attivi nel settore della tutela della privacy restano il reclamo al Garante e il ricorso giurisdizionale.