Il regolamento generale sulla protezione dei dati
Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679) è stato adottato il 27 aprile 2016 dal Parlamento e dal Consiglio dell’Unione europea e sarà applicato il 25 maggio 2018, abrogando la direttiva sulla protezione dei dati (95/46/EC) che, precedentemente, regolava la materia in esame.
Trattandosi di un regolamento, non necessita di recepimento da parte dei paesi membri, per cui verrà attuato allo stesso modo in tutti gli Stati dell’Unione, senza margini di libertà nell’adattamento.
Il regolamento detta una nuova disciplina in materia, con cui la Commissione europea intende rafforzare e unificare la gestione e la protezione dei dati personali entro i confini dell’Unione europea, stabilendo delle “[…] norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.” (art. 1 GDPR).
Il GDPR si applicherà ai dati personali dei cittadini europei e, a differenza dell’attuale direttiva sulla protezione dei dati 95/46/EC, il regolamento si applicherà anche alle organizzazioni che hanno la propria sede al di fuori dell’Unione europea, ma gestiscono i dati dei residenti nell’UE.
L’obiettivo di questa disciplina è restituire il controllo dei dati personali ai cittadini europei e, al contempo, semplificare il contesto normativo per le imprese che gestiscono tali dati.
L’art. 1, commi 2 e 3, del GDPR, infatti, afferma che:
“Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.”.
L’articolo 2 del regolamento, quindi, definisce l’ambito di applicazione materiale della normativa, stabilendo che essa si applica “[…] al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.”.
Di seguito, i punti chiave del General Data Protection Regulation:
- ciascun stato membro istituirà un’autorità sovrintendente indipendente per dare udienza ai reclami, effettuare indagini e sanzionare le infrazioni amministrative e, ove un’impresa abbia più stabilimenti nell’UE, quest’ultima avrà un’unica autorità sovrintendente come propria autorità principale (c.d. One-Stop-Shop), sulla base dell’ubicazione del proprio stabilimento principale;
- una commissione europea per la protezione dei dati (EDPB, European Data Protection Board) coordinerà le autorità sovrintendenti;
- viene introdotto il diritto di contestazione delle decisioni automatizzate (art. 22 GDPR), il quale consentirà ai cittadini UE di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona;
- l’art. 25 GDPR, “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”, prevede che la protezione dei dati faccia parte del progetto di sviluppo dei processi aziendali per prodotti e servizi;
- un valido consenso deve essere esplicitamente dato per la raccolta dei dati e per i propositi per i quali sono usati e se la richiesta viene inserita nell’ambito di altre dichiarazioni va distinta e formulata con linguaggio semplice e chiaro; inoltre, condizione di validità del consenso è che le finalità per cui viene richiesto siano esplicite, legittime, adeguate e pertinenti;
- l’art. 32 GDPR disciplina la sicurezza dei dati personali, stabilendo che questa è garantita dal titolare del trattamento e dal responsabile del trattamento, chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio;
- in merito alla notifica delle violazioni di dati, la nuova normativa richiede alle aziende di dichiarare le violazioni entro 21-72 ore;
- gli articoli 37, 38 e 39 GDPR delineano la designazione e i compiti del responsabile della protezione dei dati (Data Protection Officer);
- il diritto all’oblio viene trattato nell’art. 17 GDPR, il quale definisce il diritto alla cancellazione, stabilendo che l’interessato può richiedere la cancellazione di dati personali per una serie di motivazioni che comprendono la mancata osservanza dell’articolo 6.1 (legalità);
- l’art. 20 GDPR introduce il “Diritto alla portabilità dei dati”, il quale consiste nel diritto dell’interessato a “[…] ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti […]”.
Infine, le violazioni di norme del GDPR prevedono sanzioni che vanno dall’ammonizione scritta, nei casi di una prima mancata osservanza non intenzionale, agli accertamenti regolari e periodici sulla protezione dei dati e, nei casi di gravi violazioni, a multe fino a 20 milioni di euro o fino al 4% del volume d’affari globale registrato nell’anno precedente.