Il nuovo Regolamento europeo in fatto di privacy si pone nel solco dei principi generali del rispetto della vita privata e familiare di ogni persona (art. 7 Carta dei diritti fondamentali dell’Unione Europea) e della protezione dei dati personali (art. 8 Carta dei diritti fondamentali dell’Unione Europea), diritti che le normative nazionali, basate sulla precedente Direttiva 95/46/CE, non sono più in grado di garantire davanti all’aumento esponenziale delle attività di raccolta e condivisione dei dati di soggetti privati ed istituzioni, della rivoluzione tecnologica, dell’utilizzo dei big data e dei trattamenti automatizzati.
Il nuovo Regolamento europeo sulla privacy vuole dunque assicurare ai dati personali dei cittadini dell’Unione Europea una protezione omogenea nel caso di trattamento interamente o parzialmente automatizzato ovunque lo stesso abbia luogo. Ecco quindi nuovi obblighi per il Titolare ed il Responsabile del trattamento, entrambi chiamati a ricalibrare totalmente l’approccio alla gestione dei sistemi di trattamento.
Per garantire la protezione dei dati fin dalla fase di ideazione e di progettazione di un trattamento o di un sistema e adottare comportamenti che consentano di prevenire problematiche, la General Data Protection Regulation 2018 (GDPR) promuove la responsabilizzazione dei titolari del trattamento e l’adozione di attività che tengano conto costantemente del rischio che un determinato trattamento può comportare (Risk Based Approach) per i diritti e le libertà degli interessati.
Nella ipotesi di contitolarità del trattamento, è necessario determinare mediante accordi interni le rispettive responsabilità sul rispetto del Regolamento, con riguardo all’esercizio dei diritti dell’interessato.
Dopo le tante controversie sui consensi più o meno impliciti, acquisterà un peso maggiore il carattere dell’inequivocabilità attribuito alla manifestazione di volontà con cui l’interessato esplicita il proprio assenso al trattamento. Di particolare importanza la nuova regolazione in materia di “Data breach”, con il nuovo Regolamento europeo per la privacy che estende a tutti i Titolari e Responsabili l’obbligo di comunicazione al Garante dell’avvenuta violazione dei dati personali, quali che siano i trattamenti posti in essere.
Regolamentato anche il “diritto all’oblio”, consistente nella cancellazione immediata dei dati personali in presenza di determinate condizioni che ne rendono impossibile il proseguimento del trattamento. Più impegnativa per le imprese sarà la gestione del “diritto alla portabilità” che comporterà l’obbligo dei titolari di sviluppare formati interoperabili che ne permettano la facile trasmissione ad altro titolare.
L’interessato avrà il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Tale garanzia verrà meno quando la decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare del trattamento, oppure autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e, da ultimo, qualora si basi sul consenso esplicito dell’interessato.
Per tutti i trattamenti che prevedono l’uso di “nuove tecnologie” si rende obbligatoria la nuova e fondamentale “Valutazione d’impatto sulla protezione dati” (DPIA Data Protection Impact Assessment) ovvero nella valutazione degli aspetti personali relativi alle persone fisiche, basata su un trattamento automatizzato ovvero su un trattamento su larga scala.
Contenuto minimo della valutazione è la descrizione sistematica dei trattamenti previsti e delle finalità, compresi l’interesse legittimo perseguito dal titolare, la valutazione della necessità e la proporzionalità dei trattamenti in relazione alle finalità, la valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, nonché le misure per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento.
Ulteriore novità introdotta dal GDPR rispetto all’attuale regolamento sulla privacy è la figura del “Responsabile della protezione dei dati“ (DPO Data Protection Officer) che può avere sede nella UE o extra UE, purché siano garantite le informazioni di contatto e la raggiungibilità: è una nuova figura aziendale, assolutamente indipendente, incaricata di sorvegliare l’osservanza degli obblighi sulla protezione dei dati posti in capo al titolare od al responsabile del trattamento.
Nel caso di inosservanza degli obblighi sulla protezione dei dati, i soggetti responsabili restano il titolare o il responsabile, mai il DPO. In occasione della valutazione di impatto sulla protezione dei dati, il DPO sarà chiamato ad esprimersi sull’opportunità di una DPIA, sulla migliore metodologia da adottare, sulle salvaguardie da applicare e in un’analisi ex post verificherà se le conclusioni raggiunte siano conformi ai requisiti in materia di protezione dei dati.
E' previsto un aumento delle sanzioni a carico delle imprese, fino ad un massimo di 10 milioni di euro. Gli strumenti posti a tutela dell’interessato saranno utilizzabili direttamente, ma anche avvalendosi di un’associazione i cui obiettivi statutari siano di pubblico interesse ed attivi nel settore della tutela della privacy; restano il reclamo al Garante e il ricorso giurisdizionale.