News Nuove regole sulla privacy: sintesi del GDPR

Nuove regole sulla privacy: sintesi del GDPR

Con data di inizio il 25 maggio 2018 il Regolamento Ue 2016/679, meglio noto come General Data Protection Regulation (Gdpr), diventa applicabile in tutti i Paesi membri dell'Unione europea. L'insieme di norme disciplina il trattamento e la circolazione dei dati personali relativi alle persone fisiche e a quelle giuridiche, ovvero cittadini e organizzazioni.

Gli intenti, così come dichiarati dalla Commissione europea, sono quelli di creare uno standard più semplice per il trattamento dei dati, creando anche uno status di certezza giuridica che accompagni il trasferimento di dati dall'interno all'esterno dell'Europa. Il Gdpr vuole essere una risposta a un problema non recente, sul quale i Garanti per la privacy nazionali si sono già schierati più volte in passato.

Lo scopo principe è mettere in condizione i cittadini europei di avere maggiore fiducia in quelle tecnologie che sono già attive anche nell'economia e lo saranno sempre di più e, nel contempo, quello di diffondere la mentalità necessaria alle aziende per trattare la privacy al pari di qualsiasi altro processo aziendale. Il Gdpr è figlio di una riforma europea di più ampio respiro, tra cui figurano le direttive Ue 2016/680 e Ue 2001/45, in Italia il legislatore si è già mosso per accoglierlo secondo la volontà di Bruxelles. A tale proposito sono state approvate le leggi 163/2017 e 167/2017, entrambe già in vigore.

Quando si parla di dati si intende, almeno nell'immaginario, qualcosa di simile a un groviglio di informazioni codificate in un modo poco comprensibile ai più. In realtà si tratta di un universo stratificato, di cui fanno parte suoni, immagini, video e testo.

Una "massa informe" in cui non sono presenti solo nomi, cognomi e date di nascita ma anche informazioni sanitarie, numeri di carte di credito, coordinate geografiche, analisi storiche e molto altro ancora. L'informazione in sé, ovvero il concetto di dato, così come la sua natura, le sue tipologie e le sue caratteristiche sono sempre oggetto di studio in diversi ambiti, non solo quello del web o delle tecnologie in generale. Ci sono informazioni esplicite, altre che possono essere dedotte in modo certo e altre che possono esserlo in modo incerto. Un universo di tanti ecosistemi che diventano più fragili sotto l'egida di internet e che necessitano di una protezione sempre maggiore e più centrale.
In breve il documento impone che:

le informazioni di informative e le richieste di consenso siano più chiare vengano erette le fondamenta di nuovi diritti per i cittadini siano stabiliti i limiti del trattamento automatizzato dei dati personali e siano definiti i parametri per il trasferimento dei dati fuori dall'Europa vengano imposte regole rigide relativamente ai casi di violazione dei dati Si tratta di nome che si applicano a tutte le aziende, anche a quelle al di fuori dell'Ue a cui possono potenzialmente accedere anche i cittadini europei. Un aggravio delle responsabilità per le organizzazioni, che rischiano multe fino a 20 milioni di euro nei casi più gravi.

Più in dettaglio le aziende devono nominare dei titolari del trattamento dei dati a cui spetterà il compito, tra gli altri, di comunicare al Garante le eventuali violazioni e deve essere in grado, mediante una collaborazione europea, a reagire ai data breach che le hanno rese possibili. Una misura che inchioda le aziende e le obbliga a capire davvero quanto i dati siano importanti, non solo in virtù dei danni economici che una fuga di informazioni può comportare. Sul cahier des charges del titolare del trattamento dei dati c'è anche il compito di informare in modo comprensibile gli utenti, comunicando loro le strategie adottate per limitare l'impatto del danno sulla privacy. La figura del Data Protection Officer (DPO) è anche disciplinata nel Gpdr,: i confini imposti riguardano la sua autonomia e la necessità che possa fare affidamento su risorse sufficienti a svolgere il proprio compito.

I nuovi diritti dei cittadini sanciti dal Gdpr sono 12. Questi diritti coprono la richiesta del consenso, che deve essere sottoposta agli utenti in modo chiaro, quando questi devono rendere disponibili alcuni dei propri dati personali per accedere a un servizio in cui devono apparire la finalità dell'uso dei dati raccolti, il nome del titolare del trattamento, la durata della conservazione dei dati e gli eventuali altri destinatari che avranno accesso agli stessi. C'è poi la tutela della libertà del consenso prestato da parte dell'utente. Non è raro che alcuni servizi online richiedano a chi ne fa uso dati per nulla necessari alle finalità del servizio. Occorre quindi che agli utenti sia data la garanzia di modificare o annullare il consenso.

Il divieto di trattare alcune tipologie di dati è tra i 12 nuovi diritti. Si tratta per lo più di informazioni riguardo l'etnia degli utenti, le loro convinzioni politiche o religiose, il loro orientamento sessuale o l'appartenenza a categorie o associazioni. Questi dati possono essere forniti ma chi ne fa richiesta deve somministrare all'utente un'apposita richiesta.



In evidenza