A partire dal 25 maggio cambierà la disciplina relativa alla protezione dei dati personali, con regole più chiare e severe e con pesanti sanzioni in caso di trattamento illecito
di Danila Sarno
Il 25 maggio sarà operativo il regolamento europeo sulla protezione dei dati personali delle persone fisiche e la loro libera circolazione, anche detto GDPR (General Data Protection Regulation).
Molte le novità volte a tutelare la privacy, attraverso regole e sanzioni severe valide per tutti i soggetti, pubblici e privati, che verranno in contatto con i dati personali dei cittadini europei, anche se il trattamento dei dati dovesse essere effettuato al di fuori dell’Unione.
Il GDPR introduce una maggiore responsabilizzazione (accountability) dei titolari del trattamento, affinché assicurino una corretta applicazione del regolamento. Per il principio di privacy by design, infatti, ogni azienda dovrà adottare un sistema idoneo ad evitare il rischio di violazione dei dati e realizzare una valutazione dell’impatto privacy, cioè un’analisi dei rischi per i diritti e le libertà degli interessati. Per il principio di privacy by default, inoltre, potranno essere usati solo i dati davvero utili e solo per il periodo strettamente necessario. A questo proposito, il GDPR fissa tassativamente il contenuto dell’informativa, comprensivo dell’indicazione del periodo in cui i dati potranno essere conservati e, scaduto il quale, il trattamento degli stessi diventerà illegittimo.
Sono state aumentate le garanzie affinché il consenso dell’interessato sia preventivo, chiaro e libero. No al consenso tacito e, per i minori di 16 anni, sarà necessario il consenso di chi esercita la responsabilità genitoriale. È stato rafforzato il diritto di accesso e il diritto di essere informati sulle modalità d’uso dei propri dati. A questi si aggiungono il diritto di rettificare errori e mancanze e di modificare le scelte di utilizzo dei propri dati, oltre alla possibilità di revocare il consenso prestato. Ogni cittadino europeo potrà trasferire i propri dati da un sistema informatico a un altro e vietare azioni automatiche sulla base di dati personali. Un’altra importante novità è l’estensione del diritto all’oblio, cioè alla cancellazione dei propri dati personali dai motori di ricerca e dalle notizie, se la loro pubblicazione non sia più di pubblica utilità.
Fondamentale sarà il ruolo del responsabile della protezione dei dati personali (D.p.o.), che dovrà verificare la corretta applicazione del regolamento da parte di imprese ed enti.
In caso di violazioni esterne dei dati (data breach), il titolare del trattamento dovrà darne comunicazione al garante nazionale e, nel caso di pericolo per i diritti e libertà delle persone interessate, anche queste dovranno esserne informate.