Tra pochi giorni entrerà in vigore il Regolamento Generale sulla protezione dei dati (Regolamento Ue 2016/679, cd. GDPR, General Data Protection Regulation), che sostituirà in via definitiva il Codice della Privacy di cui al d.lgs. 196/2003.
Si tratta di una normativa comunitaria, che regolamenta il trattamento e la libera circolazione dei dati personali e che nasce dall’esigenza di armonizzare le leggi dei singoli Paesi dell’Unione Europea e di semplificare le procedure di trasferimento dei dati dall’Unione ad altri Paesi del mondo.
Il GDPR si rivolge tanto ad imprese, società ed organizzazioni operanti all’interno degli Stati membri quanto ad imprese operanti all’estero che offrono servizi o prodotti all’interno del mercato Ue. Questi i punti salienti della normativa: vengono introdotte regole più chiare su informativa e consenso; definiti i limiti al trattamento dei dati personali; creati nuovi diritti; stabiliti requisiti rigorosi per il trasferimento dei dati da Paesi Ue a Paesi esteri; individuati i casi di violazione delle norme e determinate pesanti sanzioni (l’organizzazione non conforme al GDPR rischia un’ammenda fino a 20 milioni di euro o fino al 4% del fatturato annuo globale, se superiore).
Le imprese che inizialmente avranno difficoltà ad allinearsi alla nuova normativa, potranno rivolgersi al Garante della Privacy del Paese in cui hanno la loro sede principale. In Italia potranno farlo imprese e aziende private, ma anche la Pubblica Amministrazione. Il controllo di società, organizzazioni ed imprese, nel modo in cui queste gestiscono e trasferiscono i dati delle persone fisiche, è un profilo fondamentale. Il GDPR individua le modalità in cui deve avvenire tale controllo ed i soggetti deputati ad effettuarlo, stabilendo requisiti rigorosi riguardo alla trasparenza ed al consenso del titolare dei dati stessi.
In particolare, «ogni organizzazione deve custodire un registro e monitorare le attività di elaborazione dei dati personali». Ciò significa che i responsabili del trattamento dei dati devono essere in grado di dimostrare quali di questi vengono elaborati, lo scopo dell’elaborazione e a quali paesi e terze parti i dati vengono trasmessi (i dati possono essere trasferiti solamente ad altre organizzazioni conformi al GDPR). Inoltre, «tutti i consensi devono essere registrati come prova che il consenso è stato prestato». In altre parole, l’elaborazione dei dati personali non è consentita senza un consenso preventivo.
Questo deve essere, dunque, prestato prima di qualsiasi elaborazione e sulla base di informazioni chiare e specifiche sugli scopi per i quali i dati vengono raccolti. Per i dati personali sensibili, il consenso deve essere esplicito. Ulteriore profilo importante riguarda il riconoscimento di nuovi diritti alle persone fisiche, come il diritto alla portabilità dei dati, il diritto di accedere ai dati, il diritto all’oblio, ed il diritto di revocare il proprio consenso in qualsiasi momento.
Altro aspetto che merita attenzione è la creazione di una nuova figura: il responsabile della protezione dei dati (Data Protection Officer o DPO), che ogni azienda o autorità pubblica, che tratta dati sensibili, ha l’obbligo di impiegare o formare. Esso ha il compito di assicurare una gestione corretta dei dati personali da parte dell’impresa o dell’ente in cui opera.
Emerge un solo problema: il Regolamento attribuisce agli Stati membri la possibilità di precisare, con proprie leggi, le norme in esso contenute. Ciò non soltanto potrebbe ostacolare il processo di armonizzazione delle legislazioni nazionali ma, al tempo stesso, potrebbe far sorgere contrasti tra queste ultime ed il Regolamento stesso.
Si renderebbe, in questi casi, necessario l’intervento di un Giudice sovranazionale, probabilmente della Corte di Giustizia dell’Unione Europea, che di volta in volta dirima i contrasti tra la normativa nazionale e quella europea, facendo prevalere quest’ultima.
