gdpr nuovo regolamento europeo
adv

Un importante testo da conoscere approfonditamente nelle sue caratteristiche; il GDPR (General Data Protection Regulation) è il nuovo Regolamento europeo sulla protezione dei dati sensibili, o personali, che entrerà pienamente in vigore a partire dal prossimo 25 maggio.

La sua attuazione riguarderà  tutte le aziende pubbliche e private ricadenti negli Stati aderenti all’UE.

In questo primo articolo saranno messi in evidenza taluni elementi di discontinuità rispetto al testo normativo ancora vigente in Italia, ossia il Codice in materia di protezione dei dati personali (D. Lgs. 196/2003), ed altri, invece, che resteranno inalterati.

Innanzitutto, per quanto riguarda i fondamenti della liceità del trattamento dei dati, il GDPR rende più chiari alcuni aspetti. Ci si riferisce, in primo luogo, al consenso, il quale, secondo l’articolo 7.1 del nuovo regolamento europeo, deve essere fornito in modo inequivocabile dall’utenza, ovvero mai in maniera presunta o tacitamente, anche laddove si tratti di dati sensibili prestati mediante strumenti automatizzati e quindi anche nell’ambito della profilazione.

Pertanto, è consigliabile, ma non strettamente necessaria, la comunicazione scritta con possibile ricorso a moduli affinché possa risultare ben distinguibile. Per individui di età inferiore ai 16 anni, il consenso va fornito a cura di uno dei due genitori o di chi è preposto alla loro cura secondo la legge.

Riguardo, infine, alla dicotomia tra le facoltà dell’interessato e gli interessi del titolare (o di un terzo), con le nuove norme l’ago della bilancia si sposterà verso il secondo dei due soggetti implicati (cioè il titolare): in quest’ottica, tenendo conto che il legislatore nazionale dovrà provvedere all’adeguamento al GDPR mediante uno o più provvedimenti, l’Autorità garante dovrebbe essere  esonerata dal fornire un giudizio nel bilanciamento tra le due parti.

psb consulting

Un’ulteriore novità introdotta dal nuovo regolamento europeo è costituita dall’eventuale nomina di più titolari per il trattamento dati così come dalla scelta di responsabili da parte del titolare preposto in partenza.

Quest’ultimo provvedimento, secondo l’articolo 28 (paragrafo 3), una volta emanato attraverso un apposito atto, deve prevedere allo stesso tempo la stipula di un contratto in cui vengano stabilite alcune “garanzie” minime,  quali ad esempio la protezione dei dati sensibili e gli obiettivi del relativo trattamento.

Nell’adempiere a questo compito i responsabili, chiamati a rispondere in solido con gli eventuali sub-responsabili, da essi nominati, laddove si verifichino danni conseguenti al trattamento dati, potrebbero conformarsi a specifici codici deontologici già esistenti che l’Autorità Garante sta analizzando in questi mesi in rapporto alla loro compatibilità con il nuovo regolamento europeo.

In merito alle figure degli “incaricati”, già previsti dal D. Lgs. 196/2003, la normativa del 2016, non riportando specifiche misure, ne ammette la possibile nomina, sempre ovviamente sotto il controllo del titolare oppure, in sua vece, del responsabile.

Alla luce degli articoli 11 e 12 del GDPR, il tempo di risposta nelle informative verso uno o più soggetti interessati è fissato ad un mese, con proroga a tre in situazioni eccezionali.

Viene concessa, inoltre, al titolare del trattamento la possibilità di imporre contributi laddove ricevano istanze già avanzate più volte oppure che risultino di natura eccessiva.

In realtà, i soggetti interessati continueranno prevalentemente  a  godere del diritto, gratuito, di ricevere una risposta dal titolare, la quale potrà essere concordata nella sua forma, scritta oppure orale, sempre a patto però che i contenuti vengano espressi in maniera chiara, concisa e semplice.

Riguardo ai parametri da rispettare nella stesura dell’informativa, alla luce degli articoli 13 e 14 vengono introdotte alcune novità: dall’obbligo di fornire informazioni riguardanti il responsabile della protezione dei dati sensibili a quello di indicare le motivazioni che ne hanno determinato il trattamento ed eventualmente l’invio verso paesi sia interni che soprattutto esterni all’UE.

Viene inoltre prescritto al titolare di specificare l’entità dell’arco temporale durante il quale i dati saranno conservati e se durante tale periodo si potrebbero verificare decisioni in via automatizzata.

E’ raccomandato, altresì, l’invio dell’informativa per iscritto, anche se si ammette il ricorso contemporaneo, ma non esclusivo, alla forma orale oppure ad icone; queste ultime, associabili soltanto alla redazione scritta e sottoposte già a studio dall’Autorità Garante limitatamente ad alcuni ambiti come la videosorveglianza, dovrebbero a breve essere chiarite in modo perentorio dall’UE.

Il parametro cronologico da rispettare “ragionevolmente” nella comunicazione dell’informativa all’interessato, dovrà, secondo il legislatore europeo, corrispondere ad un mese.

Va sottolineata, in ultima analisi, l’affermazione nel regolamento europeo di importanti diritti, quali la cancellazione dei dati (art. 17), con l’obbligo di trasmissione della relativa richiesta fra tutti i titolari coinvolti, e la limitazione sul trattamento dei medesimi (art. 18), sia a fronte di un evidente carattere illecito che di una richiesta da parte del soggetto interessato.

Già applicato nel mercato delle compagnie telefoniche, il diritto alla portabilità (art. 20) viene concesso al titolare laddove il trattamento dei dati forniti dal soggetto interessato venga dallo stesso autorizzato direttamente in via contrattuale oppure informale: la procedura, tuttavia, sarà vietata per il trasferimento di dati presenti in documenti di carattere pubblico, come quelli anagrafici.

L’Italia al momento sembra al momento in ritardo rispetto agli altri paesi UE in merito alle procedure di adeguamento al GDPR, nonostante la consapevolezza che l’ammontare delle conseguenti sanzioni (circa 20 milioni di euro), potrebbe apportare un duro colpo all’economia generale del paese.

Di Angelo Zito

Avatar
Nato a Taranto nel 1986, Angelo Zito frequenta il liceo classico conseguendo la maturità classica nel 2005 con il punteggio di 97/100.  Nel 2009 consegue con il massimo dei voti il titolo di Dottore in Conservazione dei beni culturali dell'Università presso l'Università Suor Orsola Benincasa di Napoli e nel 2011, presso lo stesso ateneo e con il medesimo esito, il titolo di Dottore Magistrale in Archeologia. Nel mese di aprile 2018 conseguirà il Diploma di Specializzazione in beni archeologici, titolo equipollente al dottorato di ricerca, necessario per l'accesso ad incarichi professionali presso il Mibact. Membro dello staff direttivo dell'Associazione culturale Heracles 2015, giornalista pubblicista dal maggio 2017, attualmente collabora con Il Giornale Off, approfondimento culturale online del quotidiano milanese.