Privacy secondo GDPR
La protezione dei dati personali, quale diritto sancito dalla Carta dei diritti fondamentali dell’Unione europea, è normata all’interno dell’Unione dal Regolamento (UE) n.2016/679 (detto anche “GDPR”), che è stato recepito a livello nazionale con il D.Lgs. n.101/2018, con il quale sono state introdotte modifiche al D.Lgs. 30 giugno 2003, n. 196 (il cosiddetto “Codice Privacy”). Le organizzazioni sono tenute ad applicare le prescrizioni e le indicazioni di entrambe le normative.
Cosa cambia per professionisti e imprese
Con particolare riferimento alle imprese, chiara è l’impronta verso un maggior rigore generale, la previsione di sanzioni molto più gravi e la programmazione di adempimenti più articolati, oltre a un maggior livello di protezione del soggetto cui i dati si riferiscono (e di cui vengono trattati).
In primis, la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale deve essere visto, anche da professionisti e imprese che trattano quei dati, come un vero e proprio diritto fondamentale radicato nella tradizione europea.
Finalità del regolamento in materia di protezione dei dati personali
Il primo scopo del Regolamento è quello di stabilire norme volte a proteggere i diritti e le libertà fondamentali dell’individuo, in particolare il diritto alla protezione dei dati personali, ponendo quindi al centro le persone fisiche, ovvero i loro dati personali. Ad ogni modo il diritto alla alla protezione dei dati personali non è una prerogativa assoluta ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità (rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la libertà di pensiero, ecc.).
Il secondo scopo è quello di promuovere la libera circolazione dei dati riferibili alle persone fisiche, e quindi l’economia attuale della società digitale che prevede lo scambio dei dati, commercio delle informazioni; il Regolamento non vuole infatti essere un ostacolo ma intende responsabilizzare chi svolge le attività di trattamento e tutelare nel contempo i diritti e le libertà fondamentali degli interessati.
Ambito di applicazione
La norma si applica solo alle persone fisiche, non disciplina il trattamento dei dati relativi a persone giuridiche e riguarda sia il trattamento manuale sia il trattamento automatizzato.
È esclusa significativamente l’applicazione al trattamento dei dati personali effettuati da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e, quindi, senza una connessione con un’attività commerciale o professionale. Si pensi alla corrispondenza privata, agli indirizzari, all’uso di social network.
Tutti i dati che possono identificare una persona, usando tutti i mezzi, tenendo conto anche dei costi e del tempo necessari per identificare quella persona e degli sviluppi tecnologici, sono considerati dati personali protetti dal regolamento. La norma non si applica a informazioni anonime né ai dati delle persone decedute; oltre a ciò, viene esplicitamente sollecitato l’uso di pseudonimi.
Con riferimento, in particolare, agli adempimenti e obblighi da parte di soggetti che trattano i dati, assumono particolare importanza i principi di liceità e correttezza di ogni azione, con trasparenza di tutte le modalità di trattamento e la centralità della raccolta del consenso e della sua libertà.
Con riferimento, in particolare, agli adempimenti e obblighi da parte di soggetti che trattano i dati, assumono particolare importanza i principi di liceità e correttezza di ogni azione, con trasparenza di tutte le modalità di trattamento e la centralità della raccolta del consenso e della sua libertà.
Analisi dei rischi e introduzione di nuove figure
Il GDPR sottolinea che le misure tecniche ed organizzative adottate per la protezione dei dati devono essere conseguenti e giustificate da un’attenta Analisi dei Rischi (“risk assessment”); sono pertanto state eliminate le cosiddette “misure minime” richieste dalla precedente normativa.
È stata introdotta infine una nuova figura: il Data Protection Officer “DPO” o Responsabile della Protezione dei Dati (RPD); tale figura viene nominata dal Titolare o dal Responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative ed informative relativamente all’applicazione del Regolamento. Nonché cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento.
Diritti degli interessati
Il GDPR ha, da un lato, rafforzato i diritti riconosciuti agli interessati e, dall’altro lato, ha introdotto nuovi diritti fra cui il diritto alla portabilità dei dati (ad es. del numero telefonico) e diritto all’oblio, che si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Dal punto di vista professionale e imprenditoriale, quindi, particolare attenzione andrà prestata non solo alle modalità di trattamento, alle informative e alla raccolta del consenso, e a tutte le cogenze che ne derivano, ma anche alle modalità per l’esercizio di tutti i diritti da parte degli interessati nonché alla riposta fornita all’interessato la quale deve avere carattere di “intellegibilità”, essere concisa, trasparente e facilmente accessibile, oltre ad utilizzare un linguaggio semplice e chiaro.