Gdpr, cos'è il regolamento europeo sulla protezione dei dati personali
TecnologiaIl 25 maggio diventa operativa la normativa che uniforma e innova le regole sulla privacy e la raccolta delle informazioni personali. Tra nuovi diritti e perfezionamento di norme già esistenti, così l'Unione europea punta a una maggiore tutela dei cittadini
Cos'è un regolamento europeo?
A marzo il Consiglio dei ministri ha approvato in via preliminare il decreto di coordinamento tra la normativa europea e quella per la sua attuazione in Italia. Il Gdpr avrà efficacia in Italia a partire dal 25 maggio e ciò avverrà in modo diretto senza alcun intervento del Parlamento o del governo italiano. Questo perché il regolamento, uno degli atti legislativi dell’Unione europea insieme a direttive e decisioni, è applicabile direttamente in tutti i suoi elementi e diventa legge senza dover passare per il recepimento da parte degli Stati membri. I Paesi possono decidere di porre alcune modifiche alla propria legislazione se si creano incompatibilità evidenti con le nuove regole europee. Nel caso dell’Italia, ad esempio, è stata abrogata la parte generale del vecchio Codice della privacy.
Cosa prevede il Gdpr e quali dati tutela?
L'idea di fondo del Gdpr è che ogni cittadino europeo debba essere avvisato e debba dare l'autorizzazione esplicita sulla raccolta e sul trattamento dei propri dati personali. Ma quali sono i dati che vengono tutelati con il nuovo regolamento? Secondo la Commissione europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita privata, professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi ip di computer". Il regolamento amplia la gamma dei dati tutelati, includendo quelli biometrici (l'immagine facciale), genetici, e relativi alla salute. La richiesta di consenso per il trattamento dei dati personali deve avvenire, secondo l'articolo 7 del regolamento, con "linguaggio semplice e chiaro". Inoltre le finalità "per cui viene richiesto" devono essere "esplicite, legittime, adeguate e pertinenti" (articolo 5). Piattaforme come Facebook, Google, Apple, Twitter, Instagram e molti altri devono fornire la possibilità ai propri utenti di revocare l'autorizzazione al trattamento dei propri dati personali. Qualunque azienda o servizio "titolare del trattamento" dei dati, ovvero chi gestisce le informazioni, deve dare la possibilità agli utenti di scaricare i dati in suo possesso. Un altro obbligo per i titolari dei dati è quello di dotarsi di un registro delle attività dove si elencano - tra le altre cose - le finalità dell'elaborazione delle informazioni.
Cosa succede in caso di violazioni?
Una novità del Gdpr è la disciplina dei casi di violazione e di conseguente fughe di dati ("data breach"). Il titolare del trattamento dei dati avrà l'obbligo legale di rendere noto l'accaduto all'autorità nazionale (in Italia il Garante per la privacy) e di comunicarlo entro 72 ore da quando ne è venuto a conoscenza. In alcune situazioni le persone di cui sono stati sottratti i dati dovranno essere avvertite.
Il diritto all'oblio
Il diritto all'oblio, che nel testo del regolamento è chiamato "diritto alla cancellazione", è ripreso e rivisto dal Gdpr. L'articolo 17 prevede per il titolare del trattamento l'obbligo di cancellare dati quando non sono più necessari rispetto alle finalità per le quali sono stati raccolti, quando sono stati trattati in modo illecito, oppure quando l'interessato revoca il consenso. Una novità prevista dal Gdpr è che il titolare a cui viene fatta richiesta di cancellare i dati deve anche, "tenuto conto della tecnologia disponibile e dei costi di attuazione", adottare "misure ragionevoli, anche tecniche" per informare della richiesta che gli è pervenuta anche gli altri eventuali titolari che stanno utilizzando i dati a lui resi pubblici.
Quali sono le sanzioni previste?
In caso di violazione o mancata applicazione delle regole del Gdpr scattano delle sanzioni, molto salate. Le multe sono divise in due fasce, a seconda della gravità dell'infrazione: la prima prevede una sanzione fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore). La seconda fino a un massimo di 20 milioni o il 4% del fatturato, sempre per le aziende e sempre in rapporto al giro d'affari. La multa più leggera viene inflitta per la mancata protezione dei dati fin dalla progettazione o la carenza di misure adatte a garantire un buon standard di sicurezza. Quella più pesante arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all'oblio o l'opacità nella richiesta di consenso dei dati.