Data storica per la protezione dei dati personali. Il 25 maggio entra in vigore – in tutti gli Stati dell’Eurozona – il Regolamento Ue 2016/679 noto come GDPR (General Data Protection Regulation). Con la nuova normativa ci saranno diversi aspetti della gestione della privacy che si semplificheranno e altri che diventeranno più moderni. Il Regolamento che si occupa di protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché di libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) – al primo articolo (’Oggetto e finalità’) definisce la protezione di "diritti e libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali".
Inoltre, "la libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali".
Dopo aver inoltre definito alcuni termini del glossario della materia (tra cui ’dato personale’, ’profilazione’, ’pseudonimizzazione’, ’dati generici’, ’dati biometrici’) all’articolo 5 definisce i principi applicabili al trattamento. Poi al Capo III si occupa di ’Diritti dell’interessato’, al Capo IV del ’Titolare del trattamento’ e al Capo V del ’Trasferimento dei dati personali verso Paesi terzi’.
E ancora capitoli dedicati a ’Autorità di controllo indipendenti’, ’Cooperazione e coerenza’, ’Mezzi di ricorso’, ’Disposizioni specifiche’, concludendo con gli ’Atti delegati’ e le ’Disposizioni finali’. Per un totale di 99 articoli la cui entrata in vigore e applicazione, si legge, "si applica a decorrere dal 25 maggio 2018", definendo "obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri" tale regolamento.
Il regolamento, si legge sul sito del Garante della privacy (che offre una guida on line), "conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy – d.lgs. 196/2003".
Inoltre, viene spiegato, "NON deve essere necessariamente ’documentato per iscritto’, né è richiesta la ’forma scritta’, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere ’esplicito’ (per i dati sensibili); inoltre, il titolare (art. 7.1) DEVE essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento".
E ancora: "Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci".
Resta invece la parte dedicata al fatto che il consenso "DEVE essere, in tutti i casi, libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo)". E che "DEVE essere manifestato attraverso ’dichiarazione o azione positiva inequivocabile’ (per approfondimenti, si vedano considerando 39 e 42 del regolamento)".
E ancora, per quanto riguarda il capitolo ’Diritti dell’interessato’, ad esempio, cambia la parte dedicata al termine per la risposta all’interessato che "è per tutti i diritti (compreso il diritto di accesso) 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego". E "la risposta fornita all’interessato non deve essere solo ’intelligibile’ ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro".
Privacy: ecco le nuove regole
