Più tutele per i cittadini, semplificazioni per le imprese, innovazioni anche per gli enti pubblici: sono le novità contenute nel nuovo Regolamento europeo in materia di protezione dei dati personali, entrato ufficialmente in vigore il 24 maggio 2016 e che diventerà definitivamente applicabile in via diretta in tutti i Paesi Ue a partire dal 25 maggio 2018. Anche in Italia, quindi, è partito il conto alla rovescia per adeguarsi.
La nuova direttiva punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini. La precedente normativa infatti mostrava i suoi anni, essendo stata formulata nel 1996, in un'epoca in cui Internet non aveva ancora dispiegato tutta la sua 'potenza di fuoco' (e tutte le problematiche annesse).
L'iter europeo, dalla presentazione della proposta all'entrata in vigore
Da qui la necessità di ripensare e aggiornare le norme: Nel gennaio 2012 la Commissione europea ha presentato ufficialmente il cosiddetto "pacchetto protezione dati" con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia nell'Ue. Comprendeva:
- un Regolamento, volto a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico
- una Direttiva destinata invece alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all'esecuzione delle sanzioni penali
Le principali novità, dal diritto all'oblio alla portabilità dei dati
Il nuovo Regolamento comprende una serie di novità che interessano sia i cittadini, che le imprese, gli enti pubblici, le associazioni e i liberi professionisti. Tra le principali novità:
- Il diritto all'oblio - si potrà ottenere la cancellazione dei propri dati personali, anche on line, da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento
- se i dati sono trattati solo sulla base del consenso
- se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti
- se i dati sono trattati illecitamente
- se l’interessato si oppone legittimamente al loro trattamento.
Ci sono delle eccezioni in cui può essere limitato: per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria; per tutelare un interesse generale (ad esempio, la salute pubblica); oppure quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalità statistiche o scientifiche.
- Il diritto alla portabilità» dei propri dati personali - Se finora l'uso era pressoché limitato alle compagnie telefoniche, ora riguarda tutti i titolari di trattamento dati, compresi i provider internet. Un esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati. Ci saranno però alcune eccezioni che non consentono l'esercizio del diritto: in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.
- Vietato il trasferimento di dati personali verso Paesi situati al di fuori dell’Ue - La regola vale anche nei casi di organizzazioni internazionali che non rispondono a standard adeguati in materia di tutela dei dati, rispetto ai quali sono previsti criteri di valutazione più stringenti. In assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati potranno essere trasferiti solo con il consenso esplicito dell’interessato, oppure qualora ricorrano particolari condizioni. Il trasferimento o la comunicazione di dati personali di un cittadino dell’Ue ad autorità giudiziarie o amministrative di Paesi terzi potranno avvenire solo sulla base di accordi internazionali di mutua assistenza giudiziaria o attraverso strumenti analoghi.
- Non solo più responsabilità, anche semplificazioni per imprese ed enti - Il Regolamento promuove la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
- Un approccio promosso fin dalla fase di ideazione e progettazione di un trattamento, in modo da adottare comportamenti che consentano di prevenire possibili problematiche
- In compenso, scompaiono alcuni oneri amministrativi come l’obbligo di notificare particolari trattamenti, oppure di sottoporre a verifica preliminare dell’Autorità i trattamenti considerati "a rischio"
- Responsabile della protezione dei dati (Data Protection Officer o DPO) - E' la nuova figura introdotta dal Regolamento, che ha l'incarico di assicurare una gestione corretta dei dati personali nelle imprese e negli enti. Sarà il referente, una sorta di presidio per la privacy in ogni struttura amministrativa.
ll nuovo testo ha un approccio basato sulla valutazione del rischio che premia i soggetti più responsabili e assicura semplificazioni per i soggetti che offrono maggiori garanzie e promuovono sistemi di autoregolamentazione.
Il video dell'Autorità Garante per celebrare i vent'anni di privacy in Italia
Per celebrare i vent’anni dall’introduzione nell'ordinamento italiano del diritto fondamentale alla protezione dei dati personali, il Garante per la privacy ha realizzato un video che ripercorre le tappe più significative della sua attività e i cambiamenti intervenuti nella società.
In questi due decenni sì è fatta strada una nuova consapevolezza sull’importanza cruciale della protezione dei dati in un mondo dove le informazioni personali sono diventate la nuova fonte di 'energia' e dove la sicurezza delle banche dati, la qualità delle informazioni raccolte ed elaborate, la sicurezza delle reti di trasmissione sono diventati obiettivi prioritari e strategici.