Arrivano anche in Italia le norme europee sulle limitazioni all’uso dei dati personali

Dal 25 maggio 2018 le imprese e i soggetti pubblici dovranno fare ancora più attenzione al trattamento dei dati personali. Da questa data, infatti, scatta l’applicazione definitiva in tutti i paesi Ue del nuovo “Pacchetto protezione dati”: è composto da un Regolamento in materia di protezione dei dati personali, che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), e da una direttiva relativa alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati”.

Il regolamento si applica alle persone fisiche e dà indicazioni vincolanti sulla libera circolazione dei dati personali. Fra le principali novità, il fatto che debba essere sempre esplicitato il consenso sui dati sensibili (“quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale”) e sulle decisioni basate su trattamenti automatizzati. Ciò significa che non varrà il consenso fornito assieme ad altre condizioni, come quelle contrattuali. Inoltre l’azienda dovrà poter dimostrare di averlo ricevuto e permettere all’interessato, se cambia idea, di revocarlo con la stessa facilità con cui l’ha dato. Tutto questo anche per la profilazione, ovvero la definizione di “profili” di utenti in base a caratteristiche, comportamenti, scelte, abitudini, che le aziende possono fare allo scopo di fornire servizi o promozioni personalizzate.

Il consenso non deve essere necessariamente “documentato per iscritto” né è richiesta la “forma scritta”, anche se questa è indicata come la modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare (art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.

Il consenso dei minori è valido a partire dai 16 anni; prima, serve quello dei genitori.

L’altra importante novità è che il titolare del trattamento deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilirlo, e il diritto dell’interessato di presentare un reclamo all’autorità di controllo. L’interessato ha diritto a ricevere una copia dei dati personali oggetto di trattamento, con l’indicazione del periodo di conservazione, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

Novità anche sull’informativa sulla privacy: deve essere data per iscritto, di preferenza in formato elettronico, e deve espressa in forma breve e attraverso un linguaggio chiaro e semplice, in modo che sia comprensibile e facilmente accessibile. Bisogna prevedere informative idonee per i minori. Deve essere comprensibile e facilmente accessibile anche la risposta che il titolare del trattamento fornisce a eventuali richieste dell’interessato, che deve riceverla entro un mese, estendibile a tre in casi di particolare complessità (ma comunque il riscontro deve arrivare entro un mese).

Il nuovo regolamento mette nero su bianco il diritto all’oblio, finora riconosciuto solo da una sentenza della Corte di Giustizia europea contro Google: l’interessato può chiedere la cancellazione dei propri dati personali anche dopo la revoca del consenso al trattamento, e i titolari del trattamento, se li hanno resi pubblici (per esempio mettendoli online), hanno l’obbligo di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati (per esempio un link, una copia, una riproduzione).

In caso di violazioni dei dati, per esempio in seguito a furti o attacchi informatici, i titolari devono notificarlo al Garante. Per i trasgressori le sanzioni, applicabili dal 25 maggio 2018, arriveranno fino a 20 milioni di euro o al 4% del fatturato. Una novità considerevole se si pensa che in Italia la sanzione massima per violazione della privacy finora è stata di un milione di euro, applicata nel 2014 a Google.

Il regolamento insiste sulla responsabilizzazione dei titolari (e dei responsabili, se nominati) della protezione dei dati, che devono adottare comportamenti proattivi in questo senso. Devono inoltre tenere un registro delle operazioni di trattamento, utile perché il Garante possa esercitare la sua supervisione e perché ci sia un quadro aggiornato dei trattamenti all’interno dell’azienda o del soggetto pubblico.

In Italia il Garante per la privacy ha pubblicato una guida all’applicazione del regolamento europeo in materia di protezione dei dati personali, rivolta alle imprese e ai soggetti pubblici.