Regolamento Europeo in materia di protezione dei dati personali GDPR N. 679/2016

Il Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR) è la normativa europea in materia di protezione dei dati

Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018. 
Essendo un regolamento, non necessita di recepimento da parte degli Stati dell'Unione. Il suo scopo è la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all'interno dell'Unione europea.

Che cos'è la Privacy

La privacy è un insieme di norme create per garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali di ognuno.
Il principio fondamentale è che chiunque ha il diritto ad esercitare un controllo sulle informazioni che lo riguardano. La privacy consiste cioè nel diritto di sapere che qualcun altro sta raccogliendo informazioni sul nostro conto, di che natura siano le informazioni che sta raccogliendo e per quali finalità desideri utilizzarle. Essa non si limita però solo a mantenere il singolo soggetto passivo sulla gestione delle informazioni (dirette o indirette) che lo riguardano, ma lo eleva a soggetto attivo nella gestione, non solo del tipo di informazione personale che lo riguarda, ma soprattutto nel diritto di decidere se voglia consentire questa raccolta ed utilizzo o se preferisca negare questo consenso.
La normativa sulla privacy garantisce il diritto della libertà ad esercitare un controllo sulle informazioni che ci riguardano mettendo l'interessato nelle condizioni di scegliere se permettere a qualcun altro di raccogliere informazioni sul proprio conto e per quali finalità desideri utilizzarle.
Nella società moderna le tecniche di comunicazione e la facilità di diffusione e duplicazione delle informazioni permettono che soggetti, enti, società e altri siano in grado di raccogliere e utilizzare informazioni riferite ad un soggetto, raccogliendole o meno a sua insaputa, e utilizzandole per le finalità più svariate, me comunque non consce della volontà dell'interessato. La privacy è così uno strumento per proteggere la propria riservatezza e disciplina come ogni persona sia titolare del diritto di disporre dei dati che la riguardano e che descrivono e ne qualificano l'individualità.
Fondamentale è poi il pricipio per cui, anche se il dato è stato concesso liberamente e coscientemente in utilizzo da parte dell'interessato, esso possa tornare, in qualunque momento, su decisione del titolare dello stesso dato, privato. Più sintetcamente e tecnicamente si indica che il consenso può essere revocato in qualunque momento da parte dell'interessato.
La normativa sulla privacy costituisce quindi uno dei presupposti fondamntali della libertà individuale e di esercizio dei propri diritti secondo quanto garantito dai principi fondamentali dell' Unione Europea.

Il Garante

Il Garante per la protezione dei dati personali è un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di sette anni non rinnovabile.
L´attuale Collegio è stato eletto dal Parlamento (ai sensi dell´art. 153, comma 2 del Codice) il 6 giugno 2012 e si è insediato 19 giugno 2012.

Il collegio è composto dai seguenti menbri: Antonello Soro (presidente); Augusta Iannini (vice-presidente); Giovanna Bianchi Clerici (componente); Licia Califano (componente).

I Compiti del Garante sono definiti dal Regolamento (UE) 2016/679  e dal Codice in materia di protezione dei dati personali.

Sinteticamente e a puro intento divulgativo, che non ha in alcun modo la pretesa di completezza della materia, si possono indicare tra i compiti del collegio:

-

  1.   controllare che i trattamenti di dati personali siano conformi al Regolamento nonché a leggi e regolamenti nazionali e prescrivere, ove necessario, ai titolari o ai responsabili dei trattamenti le 

  2.   misure da adottare per svolgere correttamente il trattamento nel rispetto dei diritti e delle libertà fondamentali degli individui;

  3.   collaborare con le altre autorità di controllo e prestare assistenza reciproca al fine di garantire l'applicazione e l'attuazione coerente del Regolamento;

  4.   esaminare reclami;

  5.   rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento e ingiungere di conformare i trattamenti alle disposizioni del Regolamento (nel caso di trattamenti             che violano

  6.   le disposizioni del Regolamento); imporre una limitazione provvisoria o definitiva dl trattamento, incluso il divieto di trattamento; ordinare la rettifica, la cancellazione di dati personali o la

  7.   limitazione del trattamento; 

  8.   adottare i provvedimenti previsti dalla normativa in materia di protezione dei dati personali;

  9.   segnalare, anche di propria iniziativa, al Parlamento e altri organismi e istituzioni l’esigenza di adottare atti normativi e amministrativi relativi alle questioni riguardanti la protezione dei dati

  10.   personali;

  11.   formulare pareri su proposte di atti normativi e amministrativi;

  12.   partecipare alla discussione su iniziative normative con audizioni presso il Parlamento;

  13.   predisporre una relazione annuale sull'attività svolta e sullo stato di attuazione della normativa sulla privacy da trasmettere al Parlamento e al Governo;

  14.   partecipare alle attività dell'Unione europea ed internazionali di settore, anche in funzione di controllo e assistenza relativamente ai sistemi di informazione Europol, Schengen, VIS, e altri;

  15.   curare l'informazione e sviluppare la consapevolezza del pubblico e dei titolari del trattamento in materia di protezione dei dati personali, con particolare attenzione alla tutela dei minori;

  16.   tenere  registri interni delle violazioni più rilevanti e imporre sanzioni pecuniarie ove previsto dal Regolamento e dalla normativa nazionale;

  17.   coinvolgere, ove previsto, i cittadini e tutti i soggetti interessati con consultazioni pubbliche dei cui risultati si tiene conto per la predisposizione di provvedimenti a carattere generale.

Finalità

Con il Regolamento Europeo si passa da una visione proprietaria del dato, in base alla quale non lo si può trattare senza consenso, ad una visione di controllo del dato, che favorisce la libera circolazione dello stesso rafforzando nel contempo i diritti dell'interessato, il quale deve poter sapere se i dati sono usati e come vengono usati per tutelare lui e l'intera collettività dai rischi insiti nel trattamento dei dati.

Definizione privacy

La privacy è un diritto fondamentale oggi riconosciuto dall’ordinamento giuridico di tutti i Paesi europei e delle principali nazioni del mondo, che prevede che la tutela del diritto alla protezione dei dati personali debba essere inteso come diritto fondamentale delle persone fisiche.  La privacy deve essere intesa come un insieme di norme create per garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali di ognuno, perché CHIUNQUE ha diritto alla protezione dei dati personali che lo riguardano.

 

Si veda quanto previsto dall’art. 1 par. 2  del Regolamento:
“Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.

Il principio di countability

Il Regolamento sposta il fulcro della normativa dalla tutela dell'interessato alla responsabilità del titolare e dei responsabili del trattamento. Il termine anglosassone di accountability non è facilmente traducibile e difatti nella traduzione del Regolamento, si parla impropriamente di “responsabilità”. In linea di massima la traduzione più corretta, anche se poco pratica, potrebbe essere quella di “rendicontazione”.

In virtù, difatti, del principio di accountability il Regolamento dispone che il titolare del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento.

In particolare il GDPR recepisce tale principio all’art. 24 il quale prevede che tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. Inoltre, se ciò è proporzionato rispetto alle attività di trattamento, le predette misure includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

L’accountability è oggi considerata come un approccio pratico alla privacy e al trattamento dei dati personali; essa punta, pertanto, allo sviluppo di strumenti che possano essere utilizzati dalle organizzazioni per valutare lo stato della propria accountability e renderne conto alle Autorità Garanti per la protezione dei dati personali.

Non vi è dubbio quindi che nell’ambito della tutela e protezione dei dati personali il concetto di accountability assume un ruolo fondamentale, la chiave di lettura e di interpretazione sul giusto comportamento che il titolare del trattamento deve adottare davanti ad un quesito, ad un problema, al dubbio sul corretto processo organizzativo o tecnico alla base di un trattamento dei dati.

In particolare si evidenzia la necessità di attuare misure di tutela e garanzia dei dati trattati, con un approccio del tutto nuovo che demanda ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel Regolamento: 

principio "privacy by design", in base al quale i prodotti e i servizi dovranno essere progettati fin dall'inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dall'inizio prevedendo le garanzie per tutelare i diriti degli interessati; 
rischio del trattamento, inteso come valutazione dell'impatto negativo sulle libertà e i diritti degli interessati. 

L'approccio del GDPR, più centrato sulla protezione dei dati invece che sull'utente medesimo, rappresenta in un certo modo un passo indietro rispetto alla precedente normativa. Si tratta di un approccio basato sulla valutazione del rischio (risk based), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. 
Un approccio risk based ha l'evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge, è sicuramente più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici. 

Un approccio risk based, però, ha lo svantaggio di delegare all'azienda la valutazione del rischio, rendendo più difficili le contestazioni in caso di violazioni.