Con lo scopo di una definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea, il Regolamento generale per la protezione dei dati personali n. 679 del 2016 (General Data Protection Regulation o GDPR) è la normativa di riforma della legislazione europea in materia di protezione dei dati. Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione avverrà a distanza di due anni, quindi a partire dal 25 maggio 2018. Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell’Unione e verrà attuato allo stesso modo in tutti gli Stati dell’Unione senza margini di libertà nell’adattamento.
Il nuovo regolamento sancisce all’art. 1 par. 2 che «il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali». In quest’ottica i principi cardine del nuovo regolamento sono costituiti dall’autodeterminazione informativa, dalla responsabilizzazione (accountability) del titolare e dei responsabili del trattamento e dal principio di trasparenza. In particolare si evidenzia la necessità di attuare misure di tutela e garanzia dei dati trattati, demandando ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce di due criteri specifici:
– del principio “privacy by design”, in base al quale i prodotti e i servizi dovranno essere progettati fin dall’inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dall’inizio prevedendo le garanzie per tutelare i diritti degli interessati;
– del rischio del trattamento, inteso come valutazione dell’impatto negativo sulle libertà e i diritti degli interessati.
L’approccio del GDPR è basato sulla valutazione del rischio (risk based), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Un approccio risk based ha l’evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge, è sicuramente più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici, ma ha anche lo svantaggio di delegare all’azienda la valutazione del rischio, rendendo più difficili le contestazioni in caso di violazioni. Si tratta di un approccio che tiene in maggiore considerazione le esigenze delle aziende, rendendo meno burocratica la gestione dei dati, con l’evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi parametrati anche all’organizzazione della stessa.
Le nuove norme prevedono, inoltre:
– per i cittadini un più facile accesso alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi;
– un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online;
– l’istituzionalizzazione del diritto all’oblio (denominato diritto alla cancellazione nel regolamento) come previsto dalla Corte di Giustizia europea, che consentirà di chiedere ed ottenere la rimozione dei dati quando viene meno l’interesse pubblico alla notizia;
– l’obbligo di notifica da parte delle aziende delle gravi violazione dei dati dei cittadini;
– le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del “one stop shop” o sportello unico);
– sanzioni amministrative fino al 4% del fatturato globale delle aziende in caso di violazioni delle norme.
Con il GDPR, inoltre, i titolari del trattamento dovranno identificare la base giuridica del trattamento (ad esempio il consenso dell’interessato) e documentarla, in quanto in relazione alla base giuridica possono variare i diritti. Inoltre, la base giuridica è tra gli elementi essenziali dell’informativa e deve essere evidenziata in riscontro ad una istanza di accesso. Il regolamento europeo prevede una serie di obblighi proattivi, a dimostrazione della concreta, e non meramente formale adozione del regolamento stesso. In tale ottica la predisposizione e l’aggiornamento della documentazione è essenziale, in quanto indice di corretta implementazione delle norme:
– documentazione attestante i trattamenti svolti (registro dei trattamenti; valutazione di impatto, trasferimento dati extra UE);
– documentazione attestante il rispetto dei diritti degli interessati (informative, moduli raccolta consenso);
– documentazione di ripartizione ruoli e responsabilità (contratti e nomine dei responsabili esterni e incaricati; procedure interne, etc.);
– documentazione attestante le misure di sicurezza implementate.
L’avvento del nuovo GDPR rappresenta una svolta epocale per il mondo della privacy, soprattutto in virtù del ripensato approccio alla materia, il quale attesta il passaggio da un regime autorizzatorio ad uno di responsabilizzazione dei diversi attori operanti sulla scena del trattamento dei dati. Più attento all’era dei social network, della profilazione, del controllo, del cloud, comporterà difatti un ripensamento radicale sia nella piccola e media impresa sia nelle multinazionali e nel settore pubblico, nella materia della c.d.“data governance