Il Regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR) è principale la normativa europea in materia di protezione dei dati personali. RegolamentoPubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018. E' composto da 99 articoli e 173 considerando, laddove questi ultimi hanno solo un valore interpretativo. Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell'Unione ed è attuato allo stesso modo in tutti gli Stati dell'Unione senza margini di libertà nell'adattamento (tranne per le parti per le quali si prevede espressamente delle possibilità di deroga). Il Regolamento nasce con i seguenti obiettivi (vedi Considerando 9): Nuova visione della protezione dei datiCol regolamento europeo si passa da una visione proprietaria del dato, in base alla quale non lo si può trattare senza consenso, ad una visione di controllo del dato, che favorisce la libera circolazione dello stesso rafforzando nel contempo i diritti dell'interessato, il quale deve poter sapere se i suoi dati sono usati e come vengono usati per tutelare lui e l'intera collettività dai rischi insiti nel trattamento dei dati. Il nuovo regolamento è più esplicito della direttiva 95/46, proclamando la tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche.
In quest'ottica il principio cardine del nuovo regolamento è costituito dall'autodeterminazione informativa, un concetto ben noto in Germania dove la Corte Costituzionale ha dichiarato che è una condizione necessaria per il libero sviluppo della personalità del cittadino e e anche un elemento essenziale di una società democratica. Approccio risk based e responsabilizzazione Il regolamento sposta il fulcro della normativa dalla tutela dell'interessato alla responsabilità del titolare e dei responsabili del trattamento (responsabilizzazione, anche se la traduzione italiana non rende l'idea perchè accountabilityvuol dire "dover rendere conto del proprio operato"), che si deve concretizzare nell'adozione di comportamenti proattivi a dimostrazione della concreta (e non meramente formale) adozione del regolamento. Non è più accettabile un approccio formalistico, del tipo ho il consenso e tratto il dato, visto che il consenso al massimo è una delle basi che legittimano il trattamento, ma rimane sempre la responsabilità del titolare di tutelare l'interessato e l'intera società dai rischi impliciti nel trattamento di dati personali. In particolare si evidenzia la necessità di attuare misure di tutela e garanzia dei dati trattati, con un approccio del tutto nuovo che demanda ai titolari il compito di decidere in autonomia le modalità e i limiti del trattamento dei dati in base ai principi generali specifici indicati nel Regolamento. Ovviamente il titolare è vincolato a principi specifici fissati dal Regolamento, in particolare i principi di privacy by design e by default. L'approccio del GDPR, più centrato sulla protezione dei dati invece che sull'utente medesimo, sotto alcuni aspetti si potrebbe anche considerare un passo indietro rispetto alla precedente normativa. Questo perché è un approccio basato sulla
valutazione del rischio (risk based), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della
probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Un approccio risk based, infatti, ha l'evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge, è sicuramente più flessibile e adattabile al mutare delle esigenze e degli strumenti
tecnologici. In sintesi il titolare del trattamento deve: Le nuove norme prevedono, inoltre: Base giuridica del trattamento Con il GDPR i titolari del trattamento dovranno identificare la base giuridica del trattamento (ad esempio il consenso dell'interessato) e documentarla, in quanto in relazione alla base giuridica possono variare i
diritti dell'interessato. Ad esempio, è stato rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso. Il consenso, però, è solo una delle sei basi giuridiche previste, per cui è preciso dovere del titolare valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere. In
particolare col GDPR si pone maggiore attenzione al legittimo interesse del titolare quale base giuridica del trattamento, appunto valorizzando la sua autonomia nel decidere il bilanciamento degli interessi propri con quelli del cittadino. Trasparenza e conformità al regolamento Il nuovo regolamento pone l'accento sul principio della trasparenza, in un'ottica di rispetto della finalità. Occorre valutare attentamente gli scopi del trattamento, in modo da stabilire correttamente quali dati possono essere trattati e quali no (principio di essenzialità dei dati). Altresì, il regolamento europeo prevede una serie di obblighi proattivi, a dimostrazione della concreta, e non meramente formale adozione del regolamento stesso. In tale ottica la predisposizione e l'aggiornamento della documentazione è essenziale, in quanto indice di corretta
implementazione delle norme: Ambito di applicazione materiale e territoriale Il Regolamento generale si applica a due tipi di trattamenti di
dati personali: Il Regolamento non si applica (art. 2) ai trattamenti di dati: Il GDPR, inoltre, disciplina solo il trattamento dei dati personali che riguardano una persona fisica, con esclusione delle persone giuridiche. Il GDPR, però, non si applica alle persone decedute (Considerando 27), ma qui interviene il Decreto di adeguamento del Codice Privacy che estende le tutele del GDPR al trattamento dei dati dei deceduti (art. 2-terdecies). Infine il GDPR non si applica nei casi di trattamenti di dati anonimi (o anonimizzati) o comunque dati non personali. Per quanto riguarda l'ambito territoriale, il regolamento si applica ad ogni trattamento che ha ad oggetto dati personali, e a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel territorio dell'Unione, ma anche in generale a quelli che, offrendo beni e servizi a persone residenti nell'Unione, trattano dati di residenti nell'Unione europea (art. 3 del Regolamento). In tal modo la sua applicazione non è limitata alle sole aziende che si trovano in Europa, ma tutela tutti gli interessati che risiedono nel territorio dell'Unione indipendetemente da dove si attua il trattamento dei loro dati. Video: My data my choice What you need to know about the EU's new privacy law Prepararsi al GDPRIl GDPR è un complesso meccanismo composto da un elevato numero di ingranaggi, per cui sarà estremamente complicato per le aziende prepararsi al GDPR. Provando a sintetizzare, occorre che le aziende compiano una revisione completa dei dati che raccolgono e trattano, verificando le basi giuridiche per tali trattamenti e quale è l'impatto di tali trattamenti per gli interessati. Una volta fatto, occorre comunicare tutto ciò all'esterno, precisando anche quali diritti hanno gli individui in relazione a tali trattamenti. Quindi potremo riassumere in responsabilità e trasparenza i principi generali del GDPR. - verifica della preparazione del personale ed eventuale aggiornamento sulle nuove regole; Guide istituzionaliLa Commissione europea ha preparato un agile documento che sintetizza i punti principali ndel GDPR con gli adempimenti per le piccole aziende. L'Autorità di controllo italiana (Garante Privacy) ha pubblicato una Guida che offre un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento. Sono presenti raccomandazione specifiche e suggerite azioni, oltre a segnalare le principali novità, in vista della preparazione all'attuazione del nuovo regolamento. Timeline del GDPR7 dicembre 2011 - Rivelata la prima bozza della proposta di riforma TRILOGO 24 giugno 2015 - Meeting: definizione tabella di marcia del trilogo
15 dicembre 2015 - Il Parlamento e il Consiglio raggiungono l'accordo, il testo è definitivo dopo la firma del gennaio 2016 ATTUAZIONE 25 Maggio 2018 - Il GDPR diventa applicabile dopo un periodo di 2 anni dall'adozione Infografica del Consiglio dell'Unione europea (fonte: sito del Consiglio) |