NUOVE REGOLE EUROPEE SULLA PRIVACY
Dopo la soppressione del documento programmatico sulla sicurezza DPS
Il 25 maggio 2018 è il giorno in cui il nuovo Regolamento UE 2016/679 sarà direttamente applicato in tutti i Paesi dell’Unione Europea e andrà a sostituire l’attuale Codice della Privacy (D.Lgs. 196/2003) oggi vigente in Italia. Il Regolamento introdurrà regole più chiare e semplici in materia di informativa e consenso, puntando a garantire maggiori tutele per i cittadini in maniera omogenea in tutta l’Unione, sebbene ogni Stato possa integrare i contenuti del regolamento.
In regolamento diventerà immediatamente applicabile senza bisogno di essere recepito con provvedimenti nazionali; avremmo quindi un testo unico valido in tutti i paesi UE che mirerà a rendere omogeneo ed elevato il livello di protezione dei dati personali e a favorire la circolazione degli stessi all’interno dell’Unione Europea. Agli Stati Membri dell’Unione rimarrà la possibilità di introdurre ulteriori regole e condizioni.
Il Garante della privacy
In Italia questo ruolo sarà ancora gestito dal Garante della privacy, che ha elaborato e pubblicato sul sito: www.garanteprivacy.it una guida utile all’applicazione del Regolamento UE 2016/679. Il testo della guida è articolato in 6 sezioni tematiche:
1) fondamenti di liceità del trattamento;
2) informativa;
3) diritti degli interessati;
4) titolare, responsabile, incaricato del trattamento;
5) approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
6) trasferimenti internazionali di dati.
Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d'ora perché fondate su disposizioni precise del Regolamento che non lasciano spazi a interventi del Legislatore nazionale.
Novità sul informativa e consenso al trattamento dei dati
Significativi cambiamenti riguardano l’informativa ed il consenso. L’informativa andrà resa in forma concisa, trasparente, intellegibile, facilmente accessibile e con un linguaggio semplice e chiaro; le informazioni saranno fornite per iscritto o con altri mezzi (anche in formato elettronico) e, se richiesto dall’interessato, potrà essere fornita anche oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.
Per quanto attiene il consenso, sarà valida qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l’interessato accetta, con dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Viene esclusa ogni forma di consenso tacito oppure raccolto attraverso la presentazione di opzioni già selezionate. Il consenso potrà essere revocato in ogni momento. Il trattamento effettuato fino a quel momento dal titolare sulla base del consenso rimarrà comunque legittimo.
Diritti degli interessati
Verrà introdotto il cosiddetto «diritto all’oblio»: il diritto da parte di un interessato ad ottenere la cancellazione dei propri dati personali, anche on line, da parte del titolare del trattamento, qualora ricorrano alcune condizioni previste dal Regolamento: i dati saranno trattati solo sulla base del consenso; se i dati non saranno più necessari per gli scopi rispetto ai quali sono stati raccolti; se i dati sono trattati illecitamente; oppure se l’interessato si oppone legittimamente al loro trattamento. Il diritto all’oblio potrà essere limitato solo in alcuni casi specifici: per esempio, per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria; per tutelare un interesse generale (ad esempio, la salute pubblica); oppure quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalità statistiche o scientifiche.
Titolare dei dati
Il nuovo regolamento introduce la portabilità dei dati per favorire una maggiore fluidità del mercato digitale. Tra le possibilità che il regolamento permette c’è il trasferimento dei dati da un titolare del trattamento ad un altro, si potrà cambiare il provider di posta elettronica senza perdere i contatti ed i messaggi salvati, salvaguardando il diritto di essere totalmente dimenticato da chi ha raccolto i dati inizialmente.
Più garanzie per i minori: i fornitori di servizi Internet ed i social media, dovranno richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati personali dei minori di 16 anni.
Principio della accountability
Il concetto di “accountability” è delineato dall’art. 24 del Regolamento, il quale prevede che il titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina. Le misure da adottare vanno valutate di volta in volta, tenendo in considerazione una serie di elementi tra cui la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Pertanto, il titolare – una volta valutato l’ambito, le finalità dell’uso dei dati personali e i rischi connessi – adotta una serie di misure organizzative e tecniche che prevengano i problemi e lo mettano nelle condizioni di dimostrare l’adeguamento al regolamento Ue
Misure minime ancora in vigore
Nonostante sia stato abbandonato l’approccio delle misure minime, con elenchi molto dettagliati, l’articolo prevede comunque quattro esempi di misure:
1) la pseudonimizzazione e la cifratura dei dati personali;
2) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
4) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Da un lato, quindi, è stato abbandonato un elenco tassativo e dettagliato di misure di sicurezza minime; dall’altro, al contempo, è il Legislatore stesso a fornire suggerimenti utili sugli obiettivi che le misure dovrebbero aiutare a raggiungere, con riferimento, in particolare, a riservatezza, integrità e disponibilità costante del dato.
09/03/2018