Il 24 maggio 2016 è entrato in vigore il nuovo Regolamento europeo (EU) 2016/679 in materia di protezione e trattamento dei dati personali. Un nuovo modello di gestione delle informazioni sensibili che tiene conto degli sviluppi tecnologici degli ultimi anni, sviluppi che hanno generato un incremento importante rispetto alla quantità di dati disponibili e alla velocità di circolazione delle informazioni. Il nuovo Regolamento abroga la Direttiva 95/46/CE, a distanza di oltre venti anni. Si tratta di un passaggio fondamentale, considerati i cambiamenti avvenuti: aumento vertiginoso di servizi digitali, tecnologie sempre più a portata di mano per tutti, nuove problematiche legate ai crimini informatici e data breach (violazione dei dati personali).

L’obiettivo più importante tenuto in considerazione per la stesura del Regolamento è senza dubbio quello di una maggiore garanzia per i cittadini attraverso: regole più chiare e limiti per il trattamento ben definiti (limiti anche geografici, UE o extra UE).

Informativa e consenso

L’informativa resta uno strumento centrale di trasparenza e esercizio dei diritti. In tale documento devono essere chiare le modalità di trattamento dei dati, le modalità di eventuali trasferimenti al di fuori dell’Unione Europea e le modalità di revoca del consenso (diritto dell’individuo). Per rendere più facilmente comprensibili modalità di trattamento e diritti dell’individuo, è possibile fare ricorso a elementi grafici – quindi icone – condivise e riconoscibili indipendentemente dallo stato membro di riferimento. Rispetto al consenso, deve essere preventivo ed inequivocabile anche se espresso attraverso strumenti digitali. Come per l’informativa, anche per il consenso esiste un diritto di revoca – esercitabile in qualsiasi momento – per l’individuo. Un’attenzione particolare è riservata al tema minori e social media, i provider dovranno richiedere il consenso ai genitori (o a chi esercita la potestà genitoriale) per trattare i dati dei minori di 16 anni.

Limiti e sistemi di tutela

Il Regolamento definisce dei limiti sul trattamento automatizzato dei dati, le decisioni del titolare del trattamento che producono effetti giuridici non potranno essere prese esclusivamente sulla base di un trattamento automatizzato, tali profilazioni dell’individuo possono essere impugnate (diritto di ottenere decisioni attraverso l’intervento umano).

Nell’era dei social media e dei servizi digitali, il diritto all’oblio diventa un passaggio molto importante, l’individuo – in rete – se vuole ha diritto ad essere dimenticato. Gli interessati possono richiedere, al titolare del trattamento, la cancellazione definitiva dei propri dati personali pubblicati sul web. Questo diritto può essere limitato solo in condizioni particolari, se si contrappone ad interessi generali (ad esempio ricadute sulla salute pubblica).

Nuovi diritti e maggiori garanzie si configurano nel Regolamento, tra questi il diritto alla portabilità: possibilità di trasferire i propri dati personali da un titolare ad un altro. Per garantire standard di sicurezza adeguati sulle modalità di trattamento, e soprattutto un approccio integrato alla sicurezza in ambito europeo, sono state definite regole più stringenti per il trasferimento dei dati al di fuori dei confini EU.

Cosa cambia per le aziende

Proprio per garantire maggiore tutela agli individui, inevitabilmente esistono delle ricadute anche sulle aziende che per lo svolgimento delle proprie funzioni assumono il ruolo di titolare del trattamento. Tra gli obblighi c’è quello di comunicare tempestivamente all’autorità nazionale competente eventuali violazioni dei dati personali (data breach). Il titolare non è tenuto ad informare gli interessati in caso di rischi non elevati per l’interessato, fermo restando che tale comunicazione agli interessati può diventare un obbligo in caso di disposizione in questo senso dell’autorità competente. Il principio fondamentale al quale devono ispirarsi aziende e titolari in generale è quello della privacy by design: tenere in considerazione aspetti di sicurezza e rischi dei violazione già a partire dalla fase di progettazione del modello di trattamento. È inoltre previsto un obbligo di effettuare valutazioni di impatto prima di procedere.

Viene introdotta la figura del Data Protection Officer, questa nuova figura ha il compito di disciplinare la gestione del trattamento e garantire l’aderenza alla normativa vigente. I suoi compiti principali sono:

  • informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti;
  • verificare l’attuazione e l’applicazione del Regolamento (incluse sensibilizzazione e formazione del personale coinvolto nel trattamento);
  • fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati;
  • fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati;
  • fungere da punto di contatto per il Garante per la protezione dei dati personali.

Non solo obblighi. Se da un lato viene data maggiore responsabilità al titolare, allo stesso tempo vengono inserite delle semplificazioni, in particolar modo per organizzazioni che si dotano di strumenti di autoregolamentazione (codici di condotta).

Source
Eur Lex
Garante Privacy