Guida del Garante della Privacy al Nuovo Regolamento Europeo in materia di Protezione dei Dati Personali

Il Garante Italiano per la Protezione dei Dati Personali ha recentemente pubblicato una guida divulgativa su contenuti e innovazioni del Regolamento Europeo 2016/679 concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, entrato in vigore il 24 maggio 2016, che diventerà direttamente applicabile negli Stati Membri il 25 maggio 2018, senza necessità di leggi nazionali di recepimento.

La Guida pone l'accento sulle novità introdotte dal Regolamento a tutela e garanzia dei cittadini, anche grazie all'introduzione di limiti chiari al trattamento automatizzato dei dati, regole stringenti in tema di trasferimento, oltre ché sanzioni (anche elevate) per i casi di inosservanza delle regole ivi previste.

La Storia del Pacchetto sulla Protezione dei Dati Personali

Nel gennaio 2012 la Commissione europea ha presentato ufficialmente il cosiddetto "pacchetto protezione dati" con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia nell'Ue.

Esso si compone di due diversi strumenti:

• una proposta di Regolamento concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la Direttiva 95/46
• una proposta di Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all'esecuzione delle sanzioni penali, che sostituirà (ed integrerà) la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l'Italia non ha, peraltro, ancora attuato).

L'iter per l'approvazione definitiva dei due nuovi strumenti normativi comporta l'intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di "codecisione" (ora definita dal Trattato di Lisbona "procedura legislativa").

• Il 18 dicembre 2015 è stato raggiunto un accordo sul testo del Regolamento e della Direttiva.
• Il 14 aprile 2016 la plenaria del Parlamento Europeo ha adottato in seconda lettura i testi di Regolamento e Direttiva come approvati dal Consiglio.
• Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
• Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva, che dovrà essere recepita dagli Stati membri entro 2 anni.
• Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento, che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.

La Guida del Garante per la Protezione dei Dati Personali

In particolare la Guida evidenzia che:

• L'informativa è uno strumento di trasparenza a favore dell'interessato, il quale, tra l'altro, dovrà conoscere se/con quali garanzie i suoi dati sono trasmessi al di fuori dell'UE, oltre al proprio diritto di revocare il consenso a determinati trattamenti (ad es. quelli a fini di marketing diretto);
• Il consenso, preventivo e inequivocabile, non può essere tacito, né ottenuto proponendo una serie di opzioni già selezionate, ed è revocabile in ogni momento. Tra l'altro, il Garante precisa che i fornitori di servizi Internet e i social media dovranno richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati personali dei minori di 16 anni;
• In relazione al trasferimento dei dati al di fuori dell'UE, il Garante richiama i criteri di valutazione più stringenti introdotti dal Regolamento, incluse le norme dettagliate e vincolanti per le garanzie contrattuali e i riconoscimenti di adeguatezza;
• Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all'Autorità Nazionale di Protezione dei Dati, oltre che a tutti gli interessati (a certe condizioni); l'Autorità potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria ed autonoma analisi associata alla violazione;
• Accountability e valutazione del rischio: il Garante ricorda come "il Regolamento promuove la responsabilizzazione dei titolari del trattamento e l'adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati".

La Guida richiama il principio della cd. «privacy by design» e dell'obbligo di svolgere analisi di impatto prima di attivare qualunque trattamento di dati che presenti rischi elevati per i diritti degli interessati, consultando eventualmente l'Autorità.

In attesa della pubblicazione di Linee Guida dettagliate sul nuovo Regolamento, con la Guida il Garante pone evidentemente l'accento sulla attenzione posta dal legislatore europeo su tutele, libertà e diritti degli interessati da un lato, e doveri, ruoli e responsabilità dei titolari del trattamento, dall'altro, ricordando che uno dei principali benefici del Regolamento è l'introduzione di un insieme di norme unico e vincolante per tutti gli Stati dell'Unione Europea, in risposta alle sfide imposte dall'avanzamento delle tecnologie e dei modelli dell'economia globalizzata.