Home Page » LE PRINCIPALI NOVITÀ PER IL CITTADINO COMUNE DEL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY IN VIGORE DA OGGI – di Giuseppe Fortuna

LE PRINCIPALI NOVITÀ PER IL CITTADINO COMUNE DEL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY IN VIGORE DA OGGI – di Giuseppe Fortuna

venerdì 25 maggio 2018

LE PRINCIPALI NOVITÀ PER IL CITTADINO COMUNE DEL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY IN VIGORE DA OGGI – di Giuseppe Fortuna

Dal 25 maggio 2018 è in vigore nei paesi dell’Unione Europea il GDPR, General Data Protection Regulation, il regolamento che in Italia si sovrappone al Codice privacy del 2003, facendone decadere automaticamente le disposizioni incompatibili, e che prevede sanzioni fino 20 milioni di euro e al quattro per cento del fatturato per chi ne viola le disposizioni.

Perché questa novità? Perché le legislazioni nazionali sono obbligate ad affrontare in modo uniforme l’eldorado delle profilazioni globali che come ha dimostrato il recente scandalo Facebook-Cambridge Analytica possono anche avere finalità non soltanto commerciali.

I 99 articoli del regolamento contengono molte novità, distinte tra nuovi diritti dei cittadini a cui i dati personali si riferiscono (i cosidetti “interessati”) e nuovi obblighi per le imprese e le pubbliche amministrazioni che ne vengono in possesso (i cosidetti “titolari”); novità che avranno un grande impatto sui Garanti nazionali chiamati a rivisitare atti, autorizzazioni, codici deontologici e provvedimenti di vario tipo e natura emessi in oltre vent’anni di attività, in ambiti assai diversi e non di rado particolarmente delicati, come quelli della sanità, della politica, del giornalismo.

Le principali novità per il cittadino comune ci sembra riguardino i diritti di informazione, preventiva e successiva, il consenso e il diritto all’oblio.

Segnaliamo in particolare come con l’informativa che deve precedere la raccolta si debba ora specificare con chiarezza che i dati personali non sono forniti a tempo indeterminato ma hanno una esatta scadenza. Novità non da poco. Il titolare, poi, ha il dovere di dichiarare quali sono le finalità della raccolta e se intende effettuare profilazioni o trasferimenti di informazioni all’estero, specificando al cittadino interessato che può revocare il consenso per tutti i trattamenti o per alcuni e che ha il “diritto alla portabilità” dei dati, consistente nel loro trasferimento da un servizio online a un altro.

Sono poi obbligatorie informative successive rispetto al momento della raccolta nei casi dei cosidetti “data breach”, quando cioè si verificano perdite, distruzioni o diffusioni indebite in internet di dati personali o in caso di hackeraggi.

Il consenso va dato in modo espresso e mai tacito, e per i minori di anni 16 deve provenire dagli esercenti la patria potestà. Quest’ultima novità, però, sebbene importante, probabilmente rimarrà più un’affermazione di principio visto che per i social media non sussistono obblighi di riscontro dell’età dell’utente che li attiva.

Il regolamento europeo rafforza in qualche misura anche il diritto all’oblio, che come noto consiste nella possibilità di ottenere la cancellazione di dati e informazioni personali pregiudizievoli per l’onore e il prestigio della persona interessata quando una notizia non dovesse essere più, per il tempo trascorso, di interesse pubblico. Argomento molto delicato di bilanciamento tra diritti opposti che riguarda i motori di ricerca come Google e i siti di giornali e mezzi di informazione. La novità è che adesso il titolare che ha assunto l’iniziativa di rendere pubblici i dati di cui si chiede la cancellazione è obbligato a informare tutti gli altri che i medesimi dati hanno diffuso in internet a cancellare a loro volta qualsiasi link, copia o riproduzione delle informazioni. Una disposizione che certamente sarà oggetto di numerose controversie.

Concludiamo con l’obbligo di cui si tanto parla in questi giorni: la nomina del “Responsabile della protezione dei dati”, il Data Protection Officer.

Devono nominare il DPO tutti i soggetti pubblici, eccettuate le autorità giurisdizionali, e tutte le imprese che effettuano trattamenti: di dati personali su larga scala; di dati personali sensibili (salute, razza, religione, vita sessuale, opinioni politiche, iscrizioni a partiti e sindacati, ecc.); di dati relativi a reati. Per questi titolari il GDPR inverte la prospettiva passando dal precedente - e per i titolari molto più comodo - approccio autorizzatorio, cioè di rimbalzo verso l’esterno delle decisioni sulla correttezza e adeguatezza dei trattamenti effettuati, all’odierna “accountability”, che vuol dire farsi parte attiva nella prospettazione dei rischi di diffusione indebita, di accessi abusivi e di incidenti di qualunque natura, con le conseguenti maggiori responsabilità verso gli interessati.

Il DPO è un dipendente dell’amministrazione/impresa o un professionista esterno che abbia approfondita conoscenza della normativa, delle prassi e della tecnologia in materia di privacy, che va collocato in posizione di indipendenza rispetto al vertice e con disponibilità di risorse umane e materiali adeguate ai suoi compiti, che consistono nel valutare e monitorare l’adeguatezza e la sicurezza dei trattamenti e le modalità con cui vengono effettuati, nel dare sostegno consulenziale interno al personale incaricato di effettuarli e nel far da tramite tra titolare e Garante della privacy.

AVV. GIUSEPPE FORTUNA - Dirigente dell'Autorità Garante dei dati personali dal 2000 al 2008

ficiesse