Protezione dati: cosa cambia con il nuovo regolamento
A poche settimane dall’applicazione del nuovo Regolamento europeo, prevista dal prossimo 25 maggio, facciamo il punto su alcuni aspetti essenziali delle nuove disposizioni in materia di privacy
di Renato Uggeri
A vent’anni dalla prima legge italiana sulla privacy, la n. 675 del 1996 poi sostituita dal Codice Privacy nel 2003, il tema della protezione dei dati sembra vivere una seconda giovinezza a causa di un nuovo quadro normativo a livello europeo, che dovrebbe portare maggiore uniformità e, soprattutto, che dovrebbe essere più adatto alla rivoluzione portata dalle tecnologie digitali.
Il risultato di molti anni di lavoro per garantire la protezione dei dati
Con il nuovo regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679), oggi la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini e residenti nell’Unione europea, sia all’interno sia all’esterno dei confini dell’Unione stessa. Il Regolamento UE sulla protezione dei dati, o “regolamento privacy europeo”, si presenta come un documento assai complesso, di quasi trecento pagine tra premesse e articoli veri e propri, che è stato pensato per abrogare la vecchia Direttiva n. 46 del 1995, che ebbe però il merito di disciplinare per prima il delicato tema del trattamento dei dati personali. Già nel gennaio del 2012 la Commissione europea ha introdotto il cosiddetto “pacchetto protezione dati” con lo scopo di garantire in tutta l’UE un sistema armonizzato in materia di privacy. Il pacchetto comprende due diversi strumenti:
– una proposta di Regolamento riguardante “la tutela delle persone fisiche con riferimento al trattamento dei dati personali e la libera circolazione di tali dati”; scopo del Regolamento è quello di disciplinare i trattamenti dei dati personali sia nel settore privato sia nel settore pubblico;
– una proposta di Direttiva rivolta alla regolamentazione dei settori che si occupano di prevenzione, contrasto e repressione dei crimini. Essa specifica anche le sanzioni penali e la loro applicazione.
Il 24 maggio 2016 il Regolamento è entrato ufficialmente in vigore, e diventerà definitivamente applicabile in tutti i Paesi UE a partire dal 25 maggio.
I contenuti del Regolamento
Il Regolamento afferma che ogni trattamento deve trovare fondamento in una base giuridica idonea. I fondamenti di liceità del trattamento dati coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).
In particolare, per quanto riguarda il consenso, per i dati “sensibili” il consenso deve essere “esplicito”, così come il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione). È da notare che il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”; inoltre, il titolare deve poter dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
Le caratteristiche del consenso
Venendo al consenso, deve essere libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no quindi a caselle pre-spuntate su un modulo).
Il consenso raccolto prima del 25 maggio resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, conviene adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno della modulistica. Occorre poi prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara.
La principale novità introdotta dal Regolamento è il principio di “responsabilizzazione”, che attribuisce direttamente ai titolari del trattamento il compito di assicurare, e poter comprovare, il rispetto dei principi applicabili al trattamento dei dati personali.
Il responsabile della protezione dei dati
Per fornire un primo orientamento, il Garante per la protezione dei dati personali suggerisce alle amministrazioni pubbliche di designare un Responsabile della protezione dei dati – RPD tenendo conto delle sue qualità professionali, e della conoscenza specialistica della normativa in materia di protezione dati.
Il Regolamento prevede anche l’istituzione del Registro delle attività di trattamento. È essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione e ogni altra informazione che il titolare ritenga opportuna per documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali, la liceità del trattamento (verifica dell’idoneità della base giuridica) nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default), in modo da assicurare, entro il 25 maggio, la piena conformità dei trattamenti in corso. Infine, considerando la crescente minaccia alla sicurezza dei sistemi informativi, è fondamentale la pronta attuazione delle nuove misure relative alle violazioni dei dati personali (data breach), tenendo in particolare considerazione i criteri di attenuazione del rischio indicati, e individuando quanto prima idonee procedure organizzative per l’attuazione alle nuove disposizioni.
Il Garante per la protezione dei dati personali ha elaborato una versione “arricchita” del testo del Regolamento UE che, laddove necessario, segnala in corrispondenza di articoli e paragrafi i relativi approfondimenti, in modo da offrire una lettura più ampia e ragionata della nuova normativa.