Cosa accadrà il 25 maggio 2018 con l’entrata in vigore del GDPR?
GDPR: Cosa accadrà il 25 maggio 2018?
A partire dagli anni ’80 tutti i Cittadini dell’Unione Europea possono circolare liberamente tra uno Stato e l’altro e trasferire merci e servizi.
Il 25 maggio 2018 inizia l’era della circolazione anche dei dati personali tra una nazione e l’altra per consentire lo sviluppo del mercato unico digitale.
Il GDPR, acronimo di “General Data Protection Regulation“, è un regolamento composto da 99 articoli e definisce il quadro comune in materia di tutela dei dati personali per tutti gli Stati membri.
Era una riforma necessaria per restituire competitività alle imprese europee; la normativa contenuta in questo Regolamento è più completa ed innovativa rispetto a tutti i sistemi giuridici degli altri ordinamenti.
Il Regolamento sostituirà automaticamente i codici della privacy delle varie nazioni europee ed entriamo pertanto nella dimensione “privacy 2.0”.
La ratio del GDPR è quella di creare il presupposto corretto per lo sviluppo del mercato digitale, recuperando la fiducia dei Cittadini ai quali sono stati riconosciuti nuovi diritti e maggior controllo dei loro dati personali.
Bisogna prendere atto che il GDPR, di carattere squisitamente giuridico, ha anche un significato politico: l’imprenditore che acquisirà la corretta visione delle nuove regole sulla privacy, non permettendo ai propri collaboratori che queste vengano recepite come un’ulteriore incombenza fastidiosa e superflua, approfitterà della reale opportunità per rimanere competitivo e stare al passo con i tempi dell’era digitale.
Il primo compito dei destinatari del GDPR (imprese, Pubbliche Amministrazioni, professionisti e partite IVA) sarà quello di individuare le norme applicabili ai singoli titolari di trattamento e ai singoli tipi di trattamento.
Rispetto alla vecchia normativa sulla privacy, il Regolamento europeo prescrive ai titolari del trattamento compiti ben definiti; ma questo non deve spaventare i soggetti obbligati.
Le nuove norme godono di una flessibilità per la discrezionalità delle scelte che dovranno operare i titolari. Questa flessibilità è stata però compensata da un sistema sanzionatorio molto rigido nell’ipotesi di mancato adeguamento.
Tutto ciò non è favorevole né sfavorevole: è nuovo!
Oltre ai soggetti già previsti dalla vecchia normativa (titolare e responsabile del trattamento dati), viene introdotta una nuova figura: il data protection officer D.P.O., che può essere una persona fisica o giuridica, deve essere nominato obbligatoriamente negli Enti Pubblici e nelle imprese che trattano dati delle persone su larga scala.
Il vocabolario adoperato dal Regolamento è contenuto nelle norme, nulla è lasciato al caso ed il significato di ogni termine è vincolante per l’interprete e l’operatore in generale.
I soggetti interessati all’applicazione sono il titolare del trattamento dei dati e il responsabile del trattamento.
Queste definizioni sono sottratte alla disponibilità contrattuale: gli interessati non possono, con un contratto, attribuirsi ruoli diversi: lo storno di responsabilità da un soggetto all’altro non è opponibile al Giudice e all’Autorità di controllo.
Il Regolamento definisce che: il titolare è colui che decide le sorti del trattamento, il responsabile è colui che opera per conto del titolare.
Queste semplici nozioni rendono evidente quanto sia importante documentare giuridicamente, ai fini della responsabilità del titolare, le modalità di autorizzazione e di verifica costante.
Il titolare del trattamento è di norma una persona fisica. Quando il Regolamento non lo specifica, si deve intendere che non sono da escludere gli enti collettivi; altrettanto il concetto di impresa comprende anche quella che per il nostro diritto è la ditta individuale.
L’interessato è il titolare dei diritti ed è una persona fisica la cui protezione è lo scopo sostanziale del Regolamento.
Parliamo di dati: il Regolamento offre una definizione più dettagliata del termine “dato personale”.
Sono inclusi tutti i significati di dati: personale, genetico, biometrico, dato sanitario, dato giudiziario.
Per fare un paragone, il valore dei dati personali rappresenta per l’azienda, in senso lato, un debito verso gli interessati che viene pagato con una particolare moneta e cioè mediante la “protezione”.
Il GDPR esplicita la definizione di “consenso”.
Il consenso è sempre una dichiarazione o un’azione positiva e inequivocabile che i propri dati personali siano oggetto di trattamento.
Il GDPR introduce la definizione di “archivio”, “banca dati”, e di “insieme strutturato”: definizioni assenti nella vecchia normativa (in Italia il Codice della Privacy).
Tutte queste nuove definizioni sono regolate esaustivamente nel Regolamento.
Il Regolamento introduce anche la figura dell’Autorità di controllo per ogni singolo Stato. Questa figura dovrà però armonizzarsi con le altre Autorità di controllo per creare burocrazia comune e regolare collaborazione tra questi soggetti che diventano centri periferici di una funzione unitaria.
Se dovessero sorgere differenze di vedute tra le Autorità di controllo, sarà compito del Garante capofila coordinare tutti gli altri Garanti in modo da esternare una sola voce.
Questo vale anche per l’interessato che si rivolgerà all’Autorità territorialmente più vicina e quest’ultima si confronterà con le altre omologhe.
L’oggetto del Regolamento è la tutela dei dati delle persone e la circolazione di questi ultimi.
Questi due argomenti sono strettamente legati e di estrema attualità: la protezione dei diritti della persona è un obiettivo da garantire soprattutto quando il dato personale passa “di mano in mano”.
Né si dimentichi che la circolazione delle informazioni è elemento necessario dello sviluppo e del progresso economico.
Da qui la conseguenza che l’entrata in vigore del Regolamento è oltremodo necessaria ed essenziale.
È opportuno sottolineare che la protezione dei dati di carattere personale è un diritto fondamentale: chi tratta i dati ha dei doveri di ordine sociale che non sono solo il frutto della mera autoregolamentazione del mercato, bensì di scelte normative.
Questa è la ragione di un severo apparato sanzionatorio che trova la sua giustificazione nella tutela dell’individuo e quindi della collettività.
Le disposizioni del Regolamento riguardano i trattamenti sia automatizzati, sia manuali dei dati personali: per questi ultimi i dati devono essere contenuti in archivio.
Sulle modalità di conservazione che verranno individuate e motivate dal titolare del trattamento, il Regolamento si rimette al prudente apprezzamento del titolare stesso e, in caso di contenzioso, dell’Autorità di controllo o del Giudice.
Il trattamento è tale quando è oggetto di un’attività non casuale o occasionale e se il titolare ha intenzione di trattare i dati personali di una persona fisica.
Tutti quanti, anche nolenti, ci scambiamo dati con la stessa consapevolezza con cui respiriamo e questo implica il contatto nella forma di apprensione o rilascio di informazioni.
Questo fenomeno diventa “elemento di fattispecie” e cioè il presupposto dell’applicazione di una regola giuridica quando il fenomeno ha una dimensione convenzionalmente sociale con conseguenze positive o negative sul conto di altri.
I casi di esclusione:Il Regolamento elenca le seguenti esclusioni:
- normativa extra-UE;
- politica estera e sicurezza;
- scopi personali (trattamento dati effettuato da una persona fisica nell’ambiente domestico);
- sicurezza pubblica e giustizia.
Il Regolamento non si applica quando il dato è personale ed è governabile dalla persona fisica.
Quando i trattamenti per scopi personali si realizzano attraverso la rete, ad esempio i social network, il Regolamento prevede che chi fornisce i mezzi per trattare i dati personali (come un internet provider) è soggetto al rispetto del Regolamento.
Chi fornisce professionalmente i mezzi per i trattamenti personali è un fornitore professionista e quindi deve realizzare gli adempimenti previsti dal Regolamento.
L’intento del legislatore è stato quello di applicare il Regolamento ai Cittadini Europei, anche se questi ultimi delocalizzano il trattamento dei dati altrove.
Il Regolamento disciplina i principi della protezione dei dati su piani differenti.
Ci sono disposizioni generali sui principi e disposizioni specifiche, con adempimenti dedicati a ciascuna fattispecie.
Rispetto alla disciplina del consenso il Regolamento prevede che le condizioni di liceità diverse dal consenso si possono sintetizzare attraverso una lista: non si dimentichi mai che l’onere della prova dell’avvenuta espressione del consenso spetta al titolare del trattamento che deve osservare sia il profilo formale, che quello dell’efficacia.
Il Regolamento prevede la possibilità che il titolare del trattamento possa, a prescindere dal consenso dell’interessato, rendere lecito il trattamento.
In questo caso l’esistenza di legittimi interessi richiede un’attenta valutazione che dovrà essere sviluppata dal titolare “caso per caso”.
È opportuno, per evitare le sanzioni previste, che il titolare documenti le scelte intraprese, creando un “protocollo” che utilizzerà come canovaccio della documentazione della scelta effettuata.
Il consiglio è di avere linee guida sufficientemente chiare in modo da evitare le pesanti sanzioni.
Il GDPR, inoltre, regola il diritto all’oblio, i social, la posizione dei minori, la portabilità dei dati, la profilazione on-line, la privacy by design/by default, il principio di accountability, la responsabilità del titolare del trattamento ed i corresponsabili, la figura del D.P.O., i registri delle attività di trattamento con la valutazione dei rischi, ecc.
Altro aspetto che il titolare del trattamento dovrebbe tenere in particolare considerazione, infine, è la circostanza che il Regolamento prevede, in caso di inosservanza dei principi sopra indicati, sanzioni amministrative pecuniarie pari al 4 % del fatturato mondiale totale annuo del trasgressore.