Etica Società

Nuove norme sulla Privacy

copertina guida Garante Privacy

Dal 25 maggio cambiano le norme sulla Privacy. Entrerà in vigore il nuovo Regolamento europeo sulla Privacy al quale tutti i Paesi membri sono tenuti a sottostare immediatamente. Prevede un nuovo regime sanzionatorio per le imprese

La legislazione italiana nulla deve fare per assorbire o recepire il nuovo Regolamento UE in quanto, non trattandosi di una Direttiva, è immediatamente applicabile. Senza se e senza ma. Questo per sbaragliare immediatamente ogni dubbio su eventuali possibilità di modifiche, adeguamenti o slittamenti.

Il Regolamento UE è il 2016/679 ed è dunque immediatamente applicabile e direttamente vincolante e a partire dal 25 maggio 2018 in materia di protezione dei dati personali bisognerà far riferimento ad esso e non più alle nostre Leggi nazionali. Ciò significa che l’attuale Codice della Privacy (il decreto legislativo n. 196/2003) – che fa espresso riferimento al recepimento della vecchia Direttiva 95/46 abrogata con l’attuale Regolamento – non dovrà più essere il nostro riferimento, né come Stato né come singoli cittadini. L’eventuale inosservanza delle regole contenute nella nuova normativa (lo ripetiamo: il Regolamento UE 2016/679) consente dunque ai giudici italiani di applicare immediatamente le disposizioni europee a prescindere dalla eventuale normativa nazionale in contrasto.

I cambiamenti basilari

Alla base della nuova normativa c’è il principio di Accountability (responsabilità, o meglio responsabilizzazione) che prevede la verifica ex-post dell’efficacia concreta dei comportamenti assunti, comportamenti che devono essere in grado di garantire i diritti affermati dal Regolamento e prevenire ogni possibilità di abusi da parte di chi tratta i dati oggetto di tutela. Non ci sarà più un’autorizzazione ma un controllo successivo e ci si dovrà munire di un Registro dei trattamenti in essere. Il registro dovrà essere tenuto al riparo da occhi indiscreti con tanto di implementazione di misure di sicurezza e tutti gli eventuali furti e violazioni di dati dovranno essere immediatamente comunicate. Permane comunque il Consenso esplicito al trattamento nei casi previsti (adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati). Solo che non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
Il titolare avrà comunque maggior peso nella determinazione del proprio diritto ma dovrà “farsi valere” autonomamente. Per questo i contenuti dell’informativa a lui consegnata dovranno essere molto più stringenti. L’informativa dovrà essere redatta in modo chiaro e semplice e “avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile”. Per esercitare i propri diritti, l’interessato dovrà formulare una richiesta a chi detiene i suoi dati e quest’ultimo dovrà rispondere entro un mese, prorogabile a 3 mesi in casi di particolare complessità. Tale risposta dovrà essere obbligatoriamente scritta e in modo chiaro, conciso, trasparente, intellegibile. Purtroppo per ottenerla però agli interessati potrebbe essere richiesto un contributo spese stabilito direttamente dal titolare del trattamento. Ciò potrebbe – ma questo è un dubbio sorto nell’ambito del nostro esercizio di critica giornalistica – comportare richieste esorbitanti che facciano desistere l’avente diritto dall’esercitarlo. Comunque il Garante sta pensando di emanare dei parametri e si potrebbe così evitare il presentarsi della situazione che paventiamo.
Insomma la novità principale dell’Accountability sta nel fatto che viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – ovviamente nel rispetto delle disposizioni normative.

Buone notizie per qualcuno, cattive per altri, per quanto attiene al diritto all’oblio: un diritto alla cancellazione dei propri dati personali in forma adesso rafforzata in quanto tutti coloro i quali abbiano pubblicato i dati sui siti internet o “passato” i dati ad altre società sono costretti informare della richiesta di cancellazione gli altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”. Ciò facilita l’esercizio della tutela del proprio diritto al singolo individuo ma di sicuro complica le cose per chi aveva il trattamento dei dati. Nel registro sarà meglio che si segni anche ogni volta che ha fornito il dato altrui a qualcuno o che ha linkato qualche informazione personale.

Per quanto attiene alla portabilità dei dati (esempio compagnie telefoniche) di seguito il link alle linee guida sulle nuove regole: www.garanteprivacy.it/regolamentoue/portabilita.

Per i minorenni nessun cambiamento

Per quanto concerne i minorenni, ricordiamo che il loro consenso è legalmente valido a partire dal compimento dei 16 anni di età. Prima di tale età spetta ai genitori darlo. E in questo caso non è ammesso il consenso tacito o presunto – quindi non sono valide le caselle pre-spuntate su un modulo – in quanto deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”. Le disposizioni al riguardo sono invariate.

Il parere della Fondazione studi dei Consulenti del lavoro

La Fondazione studi dei Consulenti del lavoro, con il parere n. 1/2018, spiega che “non è da ritenere significativo, ai fini della verifica della efficacia del Regolamento 2016/679, il giudizio sulla compatibilità dello schema di decreto legislativo con la delega prevista dalla Legge n. 163/2017, che richiede l’adeguamento del quadro normativo nazionale alle disposizioni del regolamento UE in discorso, abrogando le disposizioni incompatibili, modificando il codice vigente e coordinando ogni altra normativa ove necessario al premesso adeguamento (art. 13, L.n. 163/2017)”. Questo tipo di approccio infatti deve essere respinto in quanto non necessario. Semmai può essere semplicemente auspicabile per semplificare la comprensione e agevolare l’applicazione pratica del Regolamento 2016/679 ma di certo non è qualcosa che occorra fare prima di poter applicare la nuova normativa che – lo sottolineiamo ancora una volta – sarà attiva ed efficace senza alcuna modifica a partire dal 25 maggio.

Spiega Pasquale Staropoli, del Dipartimento scientifico della Fondazione studi dei consulenti del lavoro: “Nessun dubbio dunque può essere sollevato sulla immediata applicabilità delle nuove norme a partire dal 25 maggio prossimo. Nessun rinvio può venire invocato o ritenuto necessario né periodo di wait and see per i destinatari (tutti), imprese innanzitutto, che dovranno trovarsi pronti, alla data premessa, all’applicazione delle nuove regole, pena l’applicazione del regime sanzionatorio”.

La guida del Garante della Privacy

In ogni caso l’art. 94 del Regolamento UE 2016/679 prevede un regime transitorio che ha l’unico scopo di conformare alla nuova normativa i trattamenti già in corso. Quelli che partiranno dal 25 maggio invece dovranno essere immediatamente regolati dalla nuova normativa.
Anche il Garante per la protezione dei dati personali si è immediatamente attivato per spiegare ai cittadini italiani il cambiamento in essere e ha realizzato una guida all’applicazione delle nuove regole. Si rivolge direttamente ai cittadini (tutti, imprenditori compresi) in quanto nessuno spazio è lasciato agli interventi della legislazione italiana.
Affinché le imprese e tutti coloro i quali detengono dati non incorrano nelle sanzioni devono regolarsi dunque in base ai seguenti nuovi parametri che sono evidenziati nella guida del Garante che alleghiamo all’articolo. Alleghiamo altresì, per una maggior completezza d’informazione, il testo integro del Regolamento UE.
Per ulteriori informazioni ci si può rivolgere direttamente all’Ufficio per le relazioni esterne dell’Autority tel. 06. 696772917 (dal lunedì al venerdì dalle h.10,00 alle h.12,30) – e-mail urp@gpdp.it.

Scarica la guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali del Garante per la protezione dei dati personali

Scarica il Regolamento generale Ue sulla protezione dei dati

Potrebbe interessarti