Dalla Legge 675 del 1996, al d.lgs. 196 del 2003, un Regolamento comunitario dal 25 maggio 2018 disciplina la gestione dei dati personali e sensibili sul territorio europeo.

Dal 25 maggio 2018 è entrato pienamente in vigore in Europa il Regolamento generale per la protezione dei dati personali, il n. 2016/679, General Data Protection Regulation o meglio conosciuto ai più come “GDPR”.

Trattasi della “nuova” normativa europea in materia di protezione dei dati personali.

Come tale, un Regolamento non necessita di recepimento da parte degli Stati dell'Unione (self executive) ed è attuato allo stesso modo in tutti gli Stati dell'Unione senza margini di libertà nell'adattamento.

Il suo scopo è, infatti, la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all'interno dell'Unione europea. Questo in ragione del grande sviluppo delle tecnologie dell’informazione, ovverosia dei cloud, dei database, della interconnettività dei sistemi e delle risorse, ma anche perché, con Trattato di Lisbona la protezione dei dati personali è diventata diritto fondamentale dei cittadini, pertanto deve essere garantito allo stesso modo in tutto il territorio dell'Unione. In tal senso si pone l’obiettivo di aumentare la fiducia dei cittadini della rete internet, grazie ad una tutela più stringente, il regolamento è funzionale allo sviluppo digitale dell'Unione europea, e tutela anche la libertà di circolazione dei dati personali. 

Col regolamento europeo si passa da una visione proprietaria del dato, in base alla quale non lo si può trattare senza consenso, ad una visione di controllo del dato, che favorisce la libera circolazione dello stesso rafforzando nel contempo i diritti dell'interessato, il quale deve poter sapere se i suoi dati sono usati e come vengono usati per tutelare lui e l'intera collettività dai rischi insiti nel trattamento dei dati.

Il regolamento sposta il fulcro della normativa dalla tutela dell'interessato alla responsabilità del titolare e dei responsabili del trattamento: responsabilizzazione, anche se la traduzione italiana non rende l'idea perché accountability, rectius dover rendere conto del proprio operato; ciò deve concretizzarsi nell'adozione di comportamenti proattivi a dimostrazione della concreta adozione del regolamento. Quindi una regolamento più basato sulla sostanza che sulla forma.

La norma europea demanda ai titolari il compito di decidere in autonomia le modalità e i limiti del trattamento dei dati in base ai principi generali specifici indicati nel Regolamento: 

  • principio "privacy by design", in base al quale i prodotti e i servizi dovranno essere progettati fin dall'inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dall'inizio prevedendo le garanzie per tutelare i diriti degli interessati;
  • rischio del trattamento, inteso come valutazione dell'impatto negativo sulle libertà e i diritti degli interessati (valutazione del rischio, risk based).

Identifica, inoltre, una nuova figura, obbligatoria per talune categorie economie (grandi aziende, ospedali, enti pubblici, etc), quella Data Protection Officer, consulente esperto che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali, in tal modo garantendo che un soggetto qualificato si occupi della materia, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.

Preme inoltre concludere che come tutte le norme non può mancare il profilo sanzionatorio. 

Il GDPR impone sanzioni pecuniarie pesantissime a carico delle aziende che non tutelano adeguatamente l'integrità dei dati personali di clienti e dipendenti: fino a 20 milioni di euro o fino al 4% del giro d'affari annuo.

 

 



Tags