Diritto e Fisco | Editoriale

General Data Protection Regulation

25 maggio 2018 | Autore:


> Diritto e Fisco Pubblicato il 25 maggio 2018



La nuova normativa sulla protezione dei dati personali in vigore dal 25 maggio 2018 in applicazione del regolamento europeo: ecco cosa c’è da sapere.

L’Unione europea ha il potere di emettere atti legislativi che incidono, a vario titolo, sul nostro ordinamento: si tratta delle direttive (che necessitano di una normativa di adeguamento da parte dei singoli stati membri dell’Unione europea) e dei regolamenti (che, al contrario, sono immediatamente esecutivi). Questa volta l’Europa è intervenuta a legiferare in materia di protezione dei dati personali attraverso il regolamento generale sulla protezione dei dati che, benché sia direttamente applicabile e non necessiti di norme di recepimento da parte dell’Italia, dal 25 maggio 2018 comporterà la modifica di tutta la normativa sulla privacy. L’Italia, infatti, ha ritenuto doveroso un intervento legislativo che adeguasse la normativa interna già vigente in materia di protezione di dati personali a quella (nuova) europea. Analizziamo insieme queste novità e le differenze che esistono con le norme che sino a ieri sono state in vigore nel nostro paese.

Cos’è il General Data Protection Regulation?

Il General Data Protection Regulation (regolamento generale sulla protezione dei dati) [1], definito anche Gdpr, è la nuova normativa a cui dovremo fare riferimento da oggi in poi per la protezione della privacy e dei dati personali. Si tratta di un regolamento europeo che ha cercato di adeguarsi all’evoluzione tecnologica, sempre più rapida, e ai flussi trasfrontalieri dei dati personali, in netto aumento. E’ un regolamento che:

  • tende ad armonizzare l’intera legislazione europea esistente in tema di dati personali, in modo da consentire a tutti i cittadini europei (a prescindere dal paese di appartenenza o di residenza) una uguale tutela (ed, ovviamente, pari responsabilità);
  • si applica a tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea;
  • sostituisce la precedente direttiva [2] abrogando le nome del codice che disciplinano la protezione dei dati personali [3] qualora siano con esso incompatibili.

Cosa sono i dati personali nel Gdpr?

Il Gdpr definisce come dato personale qualsiasi informazione riguardante una persona fisica, identificata o identificabile, e considera identificabile la persona fisica che può (appunto) essere identificata (direttamente o indirettamente) attraverso particolari dati (identificativi) quali, ad esempio, il nome, un numero di identificazione, dati relativi all’ubicazione, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale [4]. La disciplina si applica, dunque, alle persone fisiche ed ai casi di trattamenti di dati personali interamente o parzialmente automatizzati, nonché ai trattamenti manuali che abbiano a oggetto dati personali contenuti (o destinati a essere contenuti) in archivi. Fin qui, possiamo affermare che, in linea di massima, il regolamento non si discosta da ciò che è già previsto nel nostro codice della privacy.

 Cosa cambia con il Gdpr?

Il nuovo regolamento esclude espressamente la sua applicabilità ad una serie di dati, ovvero:

  • ai dati personali, quando sono trattati dalle persone fisiche nell’esercizio di attività a carattere esclusivamente personale o domestico (senza connessioni con attività commerciali o professionali);
  • ai dati riferibili esclusivamente alle persone giuridiche;
  • alle attività che non rientrano nell’ambito di applicazione del diritto europeo (inteso come politica estera e sicurezza comune);
  • alle attività condotte dalle autorità pubbliche competenti ai fini di prevenzione, indagine, perseguimento di reati ed esecuzione di sanzioni penali. E’ chiaro che queste ultime esclusioni tendono a salvaguardare l’indipendenza della magistratura ed evitare ingerenze da parte delle autorità di controllo in settori particolarmente delicati.

 Quali sono i principi del nuovo regolamento?

Il Gdpr vuole creare un regime di privacy dei dati standardizzato in tutta l’Unione europea. Il principio fondamentale che ispira l’intera normativa è quello di:

  • attribuire alle persone il diritto di conoscere e controllare ciò che accade ai propri dati personali e per quali scopi sono utilizzati;
  • assicurarsi che le informazioni legate alla propria sfera personale e privata siano gestite con cura e siano protette rispetto ai più elevati standard di protezione;
  • conoscere i dati trasmessi a soggetti terzi ed il modo in cui sono utilizzati.

Il garante della privacy come organo di controllo

Gli stati membri dell’unione europea, per ottemperare agli obblighi derivanti dal regolamento, sono tenuti ad istituire una o più autorità di controllo, incaricate di sorvegliare la corretta e fedele applicazione delle norme del regolamento, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche (con riguardo al trattamento dei dati) e di agevolarne la circolazione all’interno dell’Unione [5]. Sul punto, l’Italia, nel processo di adeguamento dell’ordinamento giuridico nazionale alla nuova disciplina della privacy, ha enfatizzato il ruolo del garante della privacy, quale autorità di controllo.

La interoperatività ed il diritto alla portabilità

Il regolamento intende promuovere la interoperabilità e la responsabilizzazione del titolare dei dati. Per interoperabilità si intende la capacità, da parte di organizzazioni diverse, di interagire tra loro in vista di obiettivi comuni (concordati e reciprocamente vantaggiosi), ricorrendo alla condivisione di conoscenze ed informazioni, tramite lo scambio di dati fra i rispettivi sistemi. Il garante avrà il compito di specificare [6] in che modo vorrà verificare se i titolari dei dati hanno adottato infrastrutture adeguate a garantire tale interoperabiltà e a dare concreta attuazione al diritto alla portabilità dei dati. Il diritto alla portabilità [7] conferisce agli interessati il diritto di chiedere a un soggetto titolare dei loro dati di trasferirli a un altro titolare senza che si verifichino impedimenti, di natura giuridica, tecnica o finanziaria.

Il principio di responsabilizzazione dei titolari.

Il regolamento ha introdotto il principio di responsabilizzazione del titolare secondo cui il titolare dei dati è tenuto a valutare, in via autonoma, la liceità o meno del trattamento prospettato. Su questo punto, però, il legislatore italiano sembra insistere sulla opportunità di conservare la normativa preesistente sulla verifica preliminare dei dati: per il titolare, che tratti i dati dell’interessato senza il suo consenso, resta fermo l’obbligo di informare il garante della privacy in modo da consentirgli di verificare se sussiste o meno un legittimo interesse a procedere.

Immaginiamo un datore di lavoro che voglia adottare strumenti di controllo e monitoraggio  dei lavoratori; secondo il nuovo regolamento, e sulla base del principio di responsabilizzazione, la prima valutazione sulla liceità o meno dell’azione deve essere fatta dal datore stesso (che deve adeguarsi ai principi di proporzionalità e sussidiarietà e non deve pregiudicare i diritti e le libertà fondamentali degli interessati).

 Quali sono gli strumenti di tutela?

Il codice della privacy italiano prevede due strumenti di tutela:

  • quello amministrativo, ovvero il reclamo al garante;
  • quello giurisdizionale, ovvero il ricorso all’autorità giudiziaria.

Il nuovo regolamento prevede, invece, un unico strumento di ricorso in via amministrativa.

Quali sono gli effetti sulle aziende, imprese e associazioni italiane? Tutte dovranno cambiare il metodo di approccio, proprio in considerazione della responsabilizzazione di cui abbiamo detto sopra. I soggetti, sia pubblici che privati, che trattano particolari categorie di dati, devono designare il responsabile della protezione dei dati e comunicarne il nominativo al Garante [8]. Il responsabile, oltre ad informare, consigliare e sorvegliare il titolare del trattamento, funge anche da contatto tra il singolo ente o azienda ed il garante.

Quali sono gli effetti sugli avvocati?

Nessuno scappa dal nuovo regolamento e anche gli studi legali dovranno adeguarsi: vediamo, in sintesi, i parametri a cui dovranno attenersi.

Al fine di evitare di divulgare impropriamente i dati sensibili di cui hanno contezza, i legali dovranno prestare particolare attenzione al fatto che:

  • le finalità di trattamento e di trasmissione siano chiaramente definite;
  • le misure di sicurezza (informatiche e fisiche) siano precisamente individuate ed attuate;
  • le persone coinvolte (segretarie, praticanti, collaboratori ecc.) siano informate adeguatamente nel processo di trattamento dei dati.

Il consiglio nazionale forense, per facilitare la comprensione delle nuove regole, ha predisposto una sorta di guida nonché dei modelli di informativa da far sottoscrivere agli assistiti (facilmente reperibili sul sito del cnf).

note

[1] Regolamento Ue 2016/679.

[2] Direttiva 95/46/Ec.

[3] D. lgs. n. 196 del 2003.

[4] Art. 4 Regolamento Ue 2016/679.

[5] Art. 51 Regolamento Ue 2016/679.

[6] Art. 1 co. 1021 lett.b) L.205/2017.

[7] Art. 20 Regolamento Ue 2016/679.

[8] Art. 37 Regolamento Ue 2016/679.

 


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI