Accredia / Scenario legislativo – privacy

Scenario legislativo

Norme armonizzate per la privacy

Il Regolamento Generale sulla Protezione dei Dati (GDPR), in vigore dal 25 maggio 2018, ha sostituito la Direttiva sulla protezione dei dati 95/46/CE, e ha promosso l’applicazione coerente di norme uniformi in tutti gli Stati membri.

L’impiego diffuso di Internet e dei sistemi di intelligenza artificiale da parte di imprese, istituzioni e cittadini, nonché il diffondersi di nuovi modelli economici, basati sull’utilizzo dei dati, accresce il rischio di crimini informatici.

L’acquisizione, l’alterazione o la divulgazione non autorizzata di dati è un pericolo reale. Negli ultimi anni in Europa si sono registrate migliaia di violazioni di dati personali (data breach) e l’Unione europea si è attivata per affrontare la questione.

L’esigenza di garantire un’adeguata tutela della privacy in tutti gli Stati membri ha portato all’emanazione della Direttiva 95/46/CE sulla protezione dei dati, abrogata dal Regolamento UE 679/2016 (GDPR – General Data Protection Regulation), che ha fissato regole armonizzate direttamente applicabili all’interno dell’UE per la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR ha definito le modalità ammesse di raccolta, conservazione, uso, modifica e diffusione dei dati personali, i ruoli, le responsabilità e le sanzioni. Inoltre ha identificato le autorità di controllo e le garanzie dei sistemi di protezione. Le modifiche introdotte puntano su una maggiore responsabilizzazione delle figure coinvolte e mirano a dare maggiore concretezza alle attività di protezione dei dati.

La Direttiva 95/46/CE

Prima del GDPR, la Direttiva 95/46/CE era il principale strumento normativo a tutela delle persone fisiche in materia di trattamento dei dati personali, volto a favorire la libera circolazione delle informazioni in ambito UE.

Adottata il 24 ottobre 1995, con l’obiettivo di armonizzare le norme e di favorire la libera circolazione dei dati personali all’interno dell’Unione europea, la Direttiva 95/46/CE impegnava gli Stati membri a mettere in campo, tramite le leggi nazionali di recepimento, una normativa che garantisse un livello elevato e uniforme di tutela dei diritti e delle libertà fondamentali dei cittadini.

La Direttiva 95/46/CE “Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” ha avuto un ruolo fondamentale per gli scambi commerciali, perché ha consentito l’abbattimento delle frontiere all’interno dell’Unione europea, contribuendo a creare le condizioni per la realizzazione del free flow of data al centro dell’agenda europea, come strategia per la creazione del Digital Single Market.

Al di là degli intenti, la Direttiva ha realizzato solo parzialmente l’obiettivo di offrire maggiori garanzie in materia di protezione dei dati personali, in parte a causa delle divergenze tra le leggi nazionali di recepimento – in Italia la Legge 675/1996, poi sostituita dal D.Lgs. 196/2003, recante il “Codice in materia di protezione dei dati personali” – in parte a causa dell’ottica prettamente commerciale, cui si è accompagnata una concezione burocratica della gestione del dato, delle informative e del consenso dell’interessato.

Parallelamente, la rapida evoluzione della tecnologia ha contribuito ad accentuare la percezione del rischio di violazioni della privacy, e a diffondere una maggiore sensibilità verso il tema della protezione dei dati, insieme a una crescente aspettativa sociale di garanzie più efficaci a tutela di diritti riconosciuti come fondamentali.

Accountability e trasparenza

Il GDPR segna una rivoluzione in materia di privacy e introduce politiche di regolamentazione più efficaci. Nasce il la figura del Data Protection Officer, a supporto del titolare del trattamento dei dati nelle aziende pubbliche e private.

Il Regolamento europeo 679/2016 risponde all’esigenza di garantire a tutti i cittadini europei il controllo sulla diffusione e l’utilizzo dei propri dati personali, stabilendo regole coerenti e uniformi a tutela della privacy, riconosciuta come diritto fondamentale sia dal Trattato sul Funzionamento dell’UE (art. 16) che dalla Carta dei diritti fondamentali dell’UE (art. 8).

La riforma si ispira a valori come la centralità dell’uomo e la trasparenza, e punta sul concetto di accountability, responsabilizzazione del titolare del trattamento, chiamato a adottare politiche e misure adeguate a dimostrare la conformità del trattamento dei dati personali effettuato.

L’applicazione territoriale
  • L’ambito di applicazione territoriale del GDPR comprende non solo le aziende con sede nell’Unione europea che raccolgono o trattano dati personali dei cittadini europei, ma anche le aziende operanti al di fuori della UE che monitorano il comportamento e offrono beni e servizi ai cittadini europei.
  • Il Regolamento si applica a tutte le società che trattano i dati personali dei residenti nella UE, indipendentemente dalla posizione della società e dal fatto che il trattamento avvenga o meno in uno Stato membro. Questa modifica è importante perché l’applicabilità territoriale della Direttiva 95/46/CE, facendo riferimento al trattamento dei dati “nel contesto di uno stabilimento”, dava adito ad ambiguità interpretative, puntualmente emerse in diversi casi giudiziari.
Gli elementi chiave
  • La richiesta di consenso al trattamento dei dati dell’utente deve essere facilmente accessibile, formulata in un linguaggio chiaro, e deve essere reso noto lo scopo del trattamento collegato al consenso. Inoltre deve essere possibile, con la stessa facilità e in ogni momento, ritirare il consenso precedentemente fornito.
  • Viene riconosciuto agli interessati il diritto di accesso, vale a dire il diritto di ottenere informazioni in merito al trattamento o meno dei propri dati personali.
  • Il responsabile del trattamento deve inoltre fornire gratuitamente una copia dei dati personali in formato elettronico, così da garantire agli interessati, in un’ottica di trasparenza e controllo, la portabilità dei dati.
  • L’interessato ha diritto all’oblio e può chiedere la cancellazione dei propri dati personali (per esempio in caso di dati non più rilevanti ai fini originali del trattamento, o di revoca del consenso).

Novità per la protezione dei dati

Data Protection Officer

Il responsabile della protezione dati deve essere presente in tutte le aziende pubbliche, in quelle dove il trattamento dei dati presenti rischi specifichi e in quelle che trattano dati sensibili.

Privacy di design

Il principio per cui la protezione dei dati deve essere inclusa nella progettazione dei sistemi fin dall’inizio, e non essere trattata semplicemente come un’aggiunta a posteriori.