Il 25 maggio entrerà in vigore il nuovo regolamento europeo in materia di protezione dei dati personali. Federica De Stefani, avvocato, esperta di diritto della Rete e privacy, ci spiega che cosa cambierà da domani.
Il nuovo regolamento della privacy (GDPR) prevede una tutela particolare per i dati personali. E impone che il trattamento degli stessi avvenga con modalità diverse da quelle utilizzate fino a oggi. Lo scopo della normativa europea è quello di fornire agli Stati membri un level playing field, ossia un sistema di protezione dei dati comune, eliminando le diversità tra le varie normative interne che portano disuguaglianze e si traducono in disparità di trattamento. Se il regolamento verrà applicato direttamente all’interno di ogni singolo Stato, non ci saranno rinvii e non sarà necessario un atto di recepimento, come avviene invece per le direttive. Ecco le novità più importanti:
CENTRALITÀ DEL DATO
Il regolamento eleva i dati personali a diritto fondamentale delle persone fisiche e quindi diritto inviolabile. Trattandosi della tutela dei dati personali, si comprende quale portata e quale importanza abbia la normativa. Attenzione, però, a un elemento. Il regolamento indica lo scopo e i principi ai quali deve conformarsi il titolare del trattamento (ossia il soggetto che decide quali dati trattare e per quali finalità), ma non indica le modalità che devono essere individuate da quest’ultimo, proprio con riferimento alla peculiarità di quel singolo trattamento.
LE MISURE DA ADOTTARE
Non esiste nel GDPR alcuna norma che indichi in maniera specifica e dettagliata quali siano le misure da adottare per garantire la tutela dei dati personali trattati. Si parla sempre di principi generali. Questo perché tutte le misure adeguate che devono garantire la protezione dei dati devono essere “personalizzate” in base alla situazione specifica, alla tipologia di trattamento e al contesto nel quale avviene. Non si parla più nemmeno di misure minime di sicurezza, come invece avveniva nel codice della privacy.
IL CONSENSO
Il consenso dell’interessato è una delle basi giuridiche per il trattamento dei dati affinché possa considerarsi lecito. La centralità del dato e il fine ultimo al quale tende la regolamentazione europea assumono rilevanza fondamentale. L’interessato, infatti, deve rilasciare il consenso al trattamento dei propri dati. Consenso che deve essere informato, libero da qualsiasi condizionamento e può essere revocato in ogni momento. Il consenso è informato quando all’interessato viene spiegato in maniera chiara e comprensibile il trattamento, quali dati vengono raccolti e trattati, per quali finalità e con quali modalità. È sempre necessaria un’azione positiva per la manifestazione del consenso. Non possono essere considerate valide l’inerzia, il silenzio o la preselezione di caselle proposte al soggetto già spuntate.
PRIVACY BY DESIGN E PRIVACY BY DEFAULT
Questi due principi altro non sono che l’espressione del principio di tutela dei dati personali a livello organizzativo. In sostanza, parlare di privacy by design e privacy by default significa indicare l’obbligo del titolare del trattamento dei dati di predisporre tutte le misure necessarie per la realizzazione della protezione dei dati in tutte le fasi del procedimento.
DATA BREACH
Il regolamento prevede un adempimento particolare a carico del titolare del trattamento, nel caso in cui ci sia una violazione di dati personali. Nelle 72 ore dal momento della scoperta della violazione e senza ingiustificato ritardo il titolare deve informare l’autorità se ritiene che tale violazione comporti rischi per i diritti e le libertà degli interessati.
di Federica De Stefani
Tratto dall’articolo “COME SI TRATTANO I DATI? ECCO COSA C’È DA SAPERE” pubblicato su Millionaire di aprile 2018.
