Tenetevi pronti: tutte le aziende e i servizi online a cui negli anni avete lasciato i vostri dati personali, in questi giorni vi contatteranno per chiedervi di riconfermarne l’autorizzazione al trattamento secondo le nuove regole europee. Il 25 maggio prossimo, infatti, sarà ufficialmente applicabile il nuovo Regolamento Ue 2016/679, conosciuto come GDPR (General Data Protection Regulation) per la protezione, il trattamento e la libera circolazione dei dati personali in tutti gli stati membri. Il GDPR è già entrato in vigore il 24 maggio 2016, ma prima della sua applicabilità è stata prevista una forbice di due anni per permettere a imprese e pubbliche amministrazioni di adeguarsi alle nuove regole. Il GDPR riguarderà tutte quelle società che trattano dati di persone fisiche residenti dell’Unione Europea, anche se queste società hanno sede, o elaborano i dati, al di fuori della Ue. Le nuove regole sono state pensate per rendere più facili e trasparenti, per il cittadino, le modalità di utilizzo dei dati personali, per stabilire criteri più rigorosi per il trasferimento dei dati al di fuori dell’Unione e definire alcuni diritti specifici, come il diritto all’oblio. In particolare, viene definito il diritto del cittadino ad essere informato in modo tempestivo sulle violazioni dei propri dati – il cosiddetto data breach – che in seguito al caso Cambridge Analytica, ha acquisito una importanza centrale. Di seguito una sintesi delle principali caratteristiche del GDPR.
1. Data Breach
Come abbiamo visto, i cittadini devono essere informati tempestivamente di eventuali violazioni ai propri dati: pubbliche amministrazioni e imprese dovranno avvertire i cittadini entro 72 ore. Prima questo obbligo vigeva solo per determinate categorie di dati, come quelli sanitari, e per determinati titolari (società telefoniche, provider internet e pubbliche amministrazioni) mentre ora il regolamento lo ha esteso a tutti i titolari di trattamento.
2. Responsabilità
Strettamente legato al data breach è il principio di “accountability” (articolo 5) imposto dal nuovo regolamento europeo, cioè un criterio di responsabilità. Aziende e pubbliche amministrazioni sono invitate a responsabilizzarsi rispetto al trattamento dei dati, tenendo in considerazione tutti i rischi per i cittadini. Tutti coloro che non dimostreranno questa affidabilità, e che, per esempio, non informeranno tempestivamente gli utenti di eventuali violazioni, rischieranno sanzioni molto alte: fino a 20 milioni di euro, o in alternativa pari al 4% del fatturato dell’anno precedente.
3. Trasparenza
L’articolo 12 del GDPR tratta il tema della trasparenza, toccando un punto nevralgico della questione della gestione dei dati: il fatto che spesso i cittadini non comprendono i termini e le condizioni di utilizzo dei propri dati in quanto presentati in forma ostica e poco comprensibile. Per questo, il regolamento specifica che le informazioni dovranno essere fornite “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.
4. Diritto all’oblio
Il GDPR prevede, nell’articolo 17, la possibilità di ottenere dal titolare del trattamento la cancellazione dei dati personali se sussistono determinate condizioni (i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti, l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo per continuare il trattamento, oppure se i dati sono stati trattati illecitamente). Il titolare del trattamento ha non solo l’obbligo di cancellare i dati “senza ingiustificato ritardo”, ma anche il dovere specifico di informare della richiesta eventuali titolari terzi che stiano utilizzando i dati resi pubblici dal titolare. Questa è la parte più innovativa del GDPR: l’introduzione dell’obbligo, per chi tratta i dati personali, di diventare un intermediario tra il cittadino ed eventuali enti terzi che stiano trattando dati da lui resi pubblici.
5. Portabilità dei dati
Un cittadino ha il diritto alla “portabilità” dei propri dati: la possibilità, cioè, di trasferirli da un titolare del trattamento a un altro. La norma è pensata per passare i dati da un servizio online all’altro, ma ammette il trasferimento di dati personali solo entro i confini Ue.
6. DPO (Data Protection Officer)
Il nuovo regolamento istituisce la figura del DPO (Data Protection Officer), un responsabile per la protezione dei dati, che deve avere competenze specifiche e che deve garantire una corretta gestione dei dati nelle amministrazioni e nelle società. Ogni ente pubblico dovrà nominare un DPO, che si occuperà anche di formare il personale e di offrire consulti sull’applicazione delle nuove norme. E’ una figura indipendente, che deve essere estranea rispetto alle finalità del trattamento dei dati, e che prende decisioni in maniera autonoma. Ad ogni modo questa figura non risponde in caso di trasgressione del regolamento: spetta sempre al titolare del trattamento dimostrare di operare in conformità al GDPR.
7. Registro dei trattamenti
Il GDPR impone a tutti i titolari del trattamento – quindi anche alle amministrazioni pubbliche – di tenere un registro delle attività sui dati. In questo registro devono essere specificate le finalità del trattamento, le categorie di dati, i termini previsti per la cancellazione, il nome del DPO, l’organizzazione del titolare rispetto a norme di sicurezza, e modalità di esecuzione del trattamento rispetto ai principi di trasparenza.
