Il 14 aprile 2016 è stato approvato il nuovo Regolamento europeo sulla privacy  (UE 2016/679 - testo in allegato).

Gli stati hanno due anni per adeguarsi: il 25 maggio 2018 diventerà definitivamente applicabile in tutti i paesi dell’Unione Europea, ed allora dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento comunitario.

Molte sono le novità a cui, anche le pubbliche amministrazioni, dovranno adeguarsi.

In alcuni casi si tratta – per l’Italia - di semplici modifiche di terminologia, perché già il Testo Unico in vigore prevede le medesime regole.  In altri casi si tratta di novità sostanziali che implicano un adeguamento effettivo delle prassi. 

Liceità, correttezza, trasparenza, minimizzazione dei dati personali, limitazione delle finalità, esattezza, limitazione della conservazione, integrità e riservatezza sono i principi fondamentali del Regolamento.

TRATTAMENTI LECITI

Presupposti di liceità del trattamento possono essere il consenso,  il contratto tra le parti o il perseguimento di un legittimo interesse del titolare del trattamento.

Per le pubbliche amministrazioni il presupposto di liceità è la base normativa, che , salvo specifici casi,  sostituisce il consenso dell’interessato (vedi art. 6 Regolamento UE): gli Enti pubblici possono trattare in modo lecito i dati personali quando è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, basandosi sul diritto dell’Unione o dal diritto dello Stato.

La normativa deve prevedere le condizioni generali relative alla liceità del trattamento da parte del titolare, le tipologie di dati, gli interessati, i soggetti cui possono essere comunicati i dati personali, le finalità per cui sono comunicati, le limitazioni della finalità, i periodi di conservazione, le operazioni e procedure, le misure atte a garantire un trattamento lecito e corretto.

Per gli Enti pubblici il Regolamento consente il recupero delle fonti vigenti, ciò significa che le autorizzazioni e i provvedimenti generali, adottati dal Garante, se compatibili con il nuovo quadro giuridico, mantengono validità ed efficacia.

AMBITO DI APPLICAZIONE

Il regolamento si applica ai dati personali sul territorio dell’Unione, anche se trattati da soggetti residenti al di fuori dell’Unione e ai dati personali  che vengono trattati da soggetti europei anche al di fuori dell’Unione. In questo modo la tutela si estende anche ai servizi offerti sul web.

DATI PARTICOLARI

I dati particolari sono dati sensibili e riguardano l’origine razziale, etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, biometrici, dati relativi alla salute, alla vita sessuale, all’orientamento sessuale. Per essi il Regolamento stabilisce il divieto di trattamento, salvo particolari casi e con determinate condizioni;  ulteriori condizioni possono essere introdotte dagli stati membri (vedi art.9 ).

 CONSENSO

Il consenso dell’interessato deve essere effettivo e inequivocabile, formulato mediante dichiarazione scritta, anche attraverso mezzi elettronici, o verbale.  Il consenso potrà essere revocato in ogni momento. I trattamenti effettuati fino a quel momento dal titolare, sulla base del consenso, rimarranno comunque legittimi.

INFORMATIVA

L’interessato deve essere informato dell’esistenza del trattamento. Le informazioni possono essere fornite in combinazione con icone standardizzate per un quadro d’insieme del trattamento. Se presentate elettronicamente, le icone dovrebbero essere leggibili da dispositivo automatico. L’informativa è un adempimento a carico di soggetti pubblici e privati che specifica in modo trasparente il trattamento dei dati personali e cosa fare per l’esercizio dei diritti (vedi art.12 ).

ACCESSO AI DATI PERSONALI

L’interessato può richiedere l’accesso ai dati personali che lo riguardano per essere consapevole del trattamento e verificarne la liceità. Il titolare deve adottare tutte le misure ragionevoli per verificare l’identità di un interessato che chieda l’accesso, in particolare nel contesto di servizi on line e di identificativi on line.

Il diritto di accesso consiste nel diritto di conoscere e ottenere copia dei propri dati; se il titolare tratta una notevole quantità di informazioni sull’interessato, può chiedere a quali dati si riferisce la richiesta di accesso.

Se possibile, il titolare del trattamento dovrà fornire l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali. L’interessato ha il diritto di ottenere la rettifica dei dati personali inesatti. (vedi art. 15).

DIRITTO ALL’OBLIO

E’ il diritto di ciascun individuo di essere dimenticato per fatti che lo riguardano e che in passato sono stati oggetti di cronaca. Il diritto è nato con la sentenza della Corte di Giustizia europea del 13 maggio 2014.

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali (vedi art. 17). Il titolare del trattamento ha l’obbligo di cancellare i dati personali resi pubblici, con la tecnologia disponibile chiedendo la cancellazione di qualsiasi link, copia o riproduzione dei dati personali. Il Garante sottolinea che gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento quando

-i dati sono trattati solo sulla base del consenso;

-i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti,

-i dati sono trattati illecitamente, se l’interessato si oppone legittimamente al loro trattamento.

PORTABILITA’ DEI DATI

Si possono trasferire dati personali da un titolare del trattamento ad un altro. Ad esempio si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati. (vedi artt. 13,20).

VALUTAZIONE D’IMPATTO

In casi specifici, come il ricorso a tecnologie a rischio per i diritti della persona, il trattamento deve essere testato con una valutazione di impatto privacy ed, eventualmente, con una consultazione preventiva del Garante.

PRIVACY BY DESIGN

Il Regolamento impone di progettare sistemi e applicativi tarati sul principio dell’uso minimo e indispensabile dei dati personali. Il principio dell’uso minimo e indispensabile non cambia, ma la protezione dei dati personali  dal momento della progettazione dei sistemi è una novità. (vedi art. 25).

PRIVACY BY DEFAULT

Il Regolamento impone di progettare misure e sistemi che abbiano come impostazione predefinita solo l’uso dei dati necessari per una certa finalità, con particolare attenzione agli accessi tramite sistemi automatici, per i quali  occorre prevedere sistemi in cui l’intervento della persona sia essenziale. (vedi art. 25)

SICUREZZA

Sul titolare del trattamento incombe l’obbligo di effettuare l’analisi dei rischi e di vaglio dell’adeguatezza delle misure di tutela.

VIOLAZIONE DEI DATI

Si estende a tutti la regola della notifica di violazione dei dati (data breach) al Garante e anche all’interessato (a quest’ultimo in caso di rischio elevato per i suoi diritti).

DATA PROTECTION OFFICER

E’ la nuova figura di riferimento che deve essere nominata da tutte le  imprese e gli enti pubblici. Si tratta di una figura indipendente che opera all’interno dell’organizzazione in assenza di conflitto d’interessi, con compiti di formazione, consulenza e controllo interno, supporto agli uffici, interfaccia per gli utenti e clienti e interfaccia con le Autorità garanti. (vedi artt. 37, 38, 39).

REGISTRI DEI TRATTAMENTI

Tenuti dal titolare e responsabile del trattamento; contengono indicazioni sulle caratteristiche, modalità e finalità dei trattamenti. E’ un nuovo adempimento formale che sostituisce l’obbligo di notificare all’autorità garante. I registri devono avere forma scritta, anche in formato elettronico, devono essere messi a disposizione dell’autorità garante per ispezioni e controlli (sono esentate imprese e organizzazioni sl di sotto dei 250 addetti, che non trattano dati sensibili) (vedi art. 30).

SPORTELLO UNICO

L’interessato può rivolgersi all’Autorità di protezione dei dati del proprio Paese per segnalare violazioni anche se avvenute in altri Paesi. Semplificherà la gestione dei trattamenti e garantirà un approccio uniforme su tutto il territorio dell’Unione.

ARCHIVIO

La definizione di archivio che coincide con quella di “banca dati” del d. lgs. 196/2003; puo’ essere un archivio  elettronico, cartaceo o materiale.

TUTELA DELLA RISERVATEZZA E TRASPARENZA

Il Regolamento rinvia alla normativa nazionale il bilanciamento tra tutela della riservatezza e la trasparenza amministrativa (entrambi principi cardine delle Pubbliche amministrazioni). Ciascuno Stato deve conciliare il principio del pubblico accesso ai documenti ufficiali, al riutilizzo delle informazioni, con l’interesse alla protezione dei dati delle persone. Il regolamento segnala che la Direttiva 2003/98/CE sul riutilizzo dei dati pubblici non pregiudica il livello di tutela della riservatezza delle persone fisiche e non modifica gli obblighi e i diritti previsti dal Regolamento. Infatti la Direttiva non si applica ai documenti il cui accesso è escluso o limitato per motivi di protezione dei dati personali.

DATI SULLA SALUTE

Fanno parte delle categorie particolari di dati e il trattamento è lecito se avviene sotto la responsabilità di un medico o altro professionista soggetto a obbligo di segretezza, per  finalità di prevenzione, diagnosi e cura, assistenza, medicina del lavoro  e per finalità di interesse pubblico, previste dalla normativa comunitaria o nazionale

DATI PER FINI STATISTICI, STORICI, ARCHIVISTICI, SCIENTIFICI

Vi sono casi in cui alcuni diritti dell’interessato (cancellazione, rettifica, opposizione) sono limitati per interesse scientifico, storico, statistico;  vi è l’obbligo di  anonimizzare o pseudonimizzare i dati se ciò è compatibile con le finalità specifiche e devono essere adottate tutte le misure tecniche e organizzative a protezione dei dati e a garanzia dell’uso nella misura minima indispensabile.

Gli Stati membri possono dettare ulteriori regole specifiche per questo tipo di trattamenti.

DATI DEI MINORI E  SOCIAL MEDIA

Il Regolamento stabilisce che l’età minima per aprire e creare un profilo social è 16 anni. (vi erano Stati membri che prevedevano 13 anni).  Al di sotto dei 16 anni il gestore deve acquisire il consenso del  genitore o di chi ha la responsabilità genitoriale del minore.  Le violazioni sono punite con sanzioni pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato  mondiale annuo, se superiore.

SANZIONI

L’importo delle sanzioni è aumentato notevolmente rispetto a quelle previste oggi dal d.lgs 196/2003. Nei casi in cui si tratti di furto d'indentià o falso ci sarà anche la segnalazione all'Autorità Giudiziaria; nei casi di violazioni di lieve entità l'Autorità Garante potrà ammonire chi ha commesso la violazione, invce di applicare l'ammenda.

Regolamento UE 2016/679 (privacy)