Trasparenza nell’uso dei dati personali. Diritto di accesso. Diritto all’oblio e alla portabilità dei dati. Sono alcuni dei diritti che vengono stabiliti e regolamentati dalle nuove norme europee sulla privacy. Diventa infatti pienamente operativo il 25 maggio il nuovo regolamento europeo in materia di protezione dei dati personali, il GDPR (General Data Protection Regulation).

Molte le novità del Regolamento (2016/679), che sistema e riordina i precedenti provvedimenti sulla privacy. Nelle parole del video istituzionale del Garante per la protezione dei dati personali italiano, il regolamento introdurrà più trasparenza sull’uso dei dati, nuovi diritti per le persone, maggiori responsabilità per imprese ed enti, sanzioni severe per chi non rispetta le regole anche fuori dai confini europei. “La protezione dei dati è un diritto di libertà”, sostiene il Garante privacy, che ha pubblicato online una pagina dedicata alle nuove norme.

Col nuovo regolamento, in estrema sintesi (vedi Agenda Digitale  si introducono regole più chiare su informativa e consenso, sono definiti i limiti per il trattamento automatizzato dei dati personali, sono poste le basi per l’esercizio di nuovi diritti, sono stabiliti criteri rigorosi per trasferire i dati al di fuori dell’Unione europea e vengono fissate norme rigorose per i casi di violazione dei dati, o data breach.

L’ambito di applicazione del Regolamento è più ampio di quello europeo, perché questo si applica anche a chi tratta dati fuori dalla Ue di cittadini europei. “Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione” (art 3) e dunque anche ai colossi del web come Facebook e Google. Una serie di principi stabilisce che i dati personali sono trattati “in modo lecito, corretto e trasparente” nei confronti dell’interessato, esatti e aggiornati, trattati in modo che ne sia garantita la sicurezza (art 5).

Il Regolamento stabilisce che il consenso deve essere chiaro ed esplicito. “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”. Se il consenso è presentato in una dichiarazione scritta che riguarda anche altre questioni, deve essere distinguibile dalle altre parti e scritto in modo semplice e chiaro. “L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato” (art 7). Per i servizi della società dell’informazione,  “il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale” (art. 8). Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.

Il nuovo Regolamento si sofferma inoltre sul trattamento di particolari categorie di dati personali. “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” (art 9). Questo non si applica in alcuni casi, ad esempio se il trattamento dati è necessario per esercitare un diritto, se riguarda dati personali resi “manifestamente pubblici” dall’interessato, se è necessario per motivi di interesse pubblico, ad esempio nella sanità pubblica, e a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Diversi i diritti che vengono disciplinati e chiariti dalle nuove norme. Il diritto alla trasparenza prevede informazioni e comunicazioni trasparenti sul trattamento dei dati, con linguaggio semplice e chiaro, non necessariamente in forma scritta purché sia comprovata l’identità dell’interessato.

C’è il diritto di accesso ai dati personali, di rettifica (“L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo”) e viene previsto il diritto all’oblio. Il diritto all’oblio (art 17) prevede che “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali” se i dati personali non sono più necessari per le finalità per le quali sono stati raccolti, se il consenso viene revocato, se i dati personali sono stati trattati illecitamente. Il diritto all’oblio e alla cancellazione, precisa il regolamento, non si applica “per l’esercizio del diritto alla libertà di espressione e di informazione”, per l’adempimento di un obbligo legale, per “motivi di interesse pubblico nel settore della sanità pubblica”, “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici” e per “l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”.

Il Regolamento disciplina poi il diritto alla portabilità dei dati. “L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti” (art 20).

Viene poi regolamentato il diritto di opposizione (art 21). Se “i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto”. In caso di opposizione al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento. In tema di processi automatizzati, compresa la profilazione (art 22), il regolamento stabilisce che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Il diritto dell’Unione e di uno Stato membro può limitare i diritti stabilisti dal Regolamento, “qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica” per salvaguardare interessi quali sicurezza nazionale, difesa, sicurezza pubblica, prevenzione, indagine, accertamento e perseguimento di reati, “altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale” e la tutela dell’interessato dei diritti e delle libertà altrui.

Altro aspetto interessante disciplinato dal Regolamento riguarda la violazione dei dati personali. Il regolamento stabilisce che “in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”. (art 33) Si precisa poi che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo” (art. 34) a meno che il titolare non abbia adottato misure tecniche che scongiurino questo rischio o se questa comunicazione “richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile.