L’evoluzione tecnologica ha trasformato profondamente i nostri comportamenti e le attività di acquisizione e gestione dei dati. Pertanto è diventato necessario avere una normativa uniforme per gli stati membri UE, in grado di fornire maggiori garanzie in tema di trasparenza, responsabilità, e sicurezza dei dati.
Il GDPR è stato creato allo scopo di rispondere a queste esigenze.
Con la nuova normativa comunitaria a cambiare è quindi l’approccio che passerà dall’attuale diritto alla protezione dei dati personali al nuovo concetto di protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, focalizzando quindi l’attenzione sulla tutela dell’individuo.
“Considerando” (GDPR EU 2016/679) :
art. 1 “La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”.
art. 2 “I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza. Il presente regolamento è inteso a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche”.
art.3 “La direttiva 95/46/CE del Parlamento europeo e del Consiglio (4) ha come obiettivo di armonizzare la tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e assicurare la libera circolazione dei dati personali tra Stati membri”.
art. 4 “Il Trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ottemperanza al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva i principi riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea e sanciti dai trattati, in particolare il diritto al rispetto della vita privata e familiare, del domicilio e delle comunicazioni, il diritto alla protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, così come la diversità culturale, religiosa e linguistica e sulle sicurezze intrinseche necessarie e su principali principi di ispirazione del trattamento dei dati personali.”
Principali Novità del GDPR EU 2016/679
Sommario
- Introduzione
- Definizioni Ricorrenti
- Ambito di applicazione
- Maggiori responsabilità per i titolari e per i responsabili
- Maggiori diritti per l’interessato
- Nuove figure soggettive
- Autorità
- Misure di sicurezza
- Tutela
- Sanzioni
Introduzione
Il 4 maggio 2016, è stato approvato il testo definitivo del “Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (General data protection reglulation) e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)”.
Il testo è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 24 maggio 2016 e diventerà direttamente applicabile in tutto il territorio UE dal 25 maggio 2018.
A partire da tale data gli stati membri UE avranno tempo due anni per allinearsi alla nuova normativa.
Nel frattempo restano in vigore gli obblighi imposti dall’attuale Codice Privacy e dai provvedimenti del Garante, per la cui attuazione si dovrà comunque tener conto degli adeguamenti al nuovo Regolamento.
Alcune definizioni ricorrenti presenti nel testo
“dato personale” (art. 4 c.1): “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”;
“profilazione” (art. 4 c.4): “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
“pseudonimizzazione” (art. 4 c.5): il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
“titolare del trattamento” (art. 4 c.7): “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che singolarmente o insieme ad altri determina le finalità del trattamento e i mezzi del trattamento di dati personali”.
“responsabile del trattamento”(art. 4 c.8): “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del Responsabile del trattamento”.
La figura dell’Incaricato del trattamento, intesa dal Codice Privacy italiano come “la persona fisica autorizzata a compiere operazioni di trattamento dati,” non è prevista espressamente dal Regolamento europeo. Tuttavia a tale figura si riferisce la definizione di “terzo” (art. 4 c.10), ovvero la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile; tale figura è da ritenere rilevante e non è incompatibile con la nuova normativa, specialmente nel quadro delle misure di sicurezza.
“consenso dell’interessato” (art. 4 c.11): “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”;
“violazione dei dati personali” (art. 4 c.12): “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali i trasmessi, conservati o comunque trattati”;
“stabilimento principale”(art. 4 c.16): a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;