Pubblicato in Gazzetta Ufficiale dell’Unione Europea il nuovo regolamento sulla privacy, “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

Ci sembra particolarmente significativo uno dei passaggi iniziali del Regolamento, che citiamo in toto:

“Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.

Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica”.

Il documento interviene su alcuni temi chiave degli ultimi tempi, relativi alla gestione dei dati personali, in particolare, si ricordano il considerevole aumento dei flussi transfrontalieri, da un lato, e le nuove sfide aperte della rapida evoluzione tecnologica e dalla globalizzazione, dall’altro. Al tempo stesso, ha l’obiettivo di armonizzare le normative locali al momento in essere, sul territorio dell’Unione.

I principi base nella gestione dei dati sono: liceità, correttezza e trasparenza.

Si introduce anche il concetto di “minimizzazione dei dati”, cioè è necessario che siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Un focus sulla trasparenza si trova nel capo III , sezione 1, in cui si richiede che il titolare del trattamento dei dati adotti misure appropriate per fornire all’interessato specifiche informazioni e comunicazioni. Le informazioni possono riguardare, ad esempio:

  • le finalità del trattamento cui sono destinati i dati personali;
  • i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali.

Nel momento in cui i dati sono ottenuti, occorrerà informare l’interessato di una serie di diritti:

  • il periodo di conservazione degli stessi;
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento;
  • l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a un’autorità di controllo;
  • l’esistenza di un processo decisionale automatizzato, come definito dall’art. 22 (“L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”), informandolo sulla logica utilizzata e sull’importanza e le conseguenze di tale trattamento per l’interessato.

Altri requisiti informativi sono definiti nel caso in cui i dati personali non siano stati ottenuti presso l’interessato, ma tramite un rappresentante (art. 14).

In termini di comunicazioni, sono previsti:

  • il diritto di accesso dell’interessato, come previsto dall’art. 15;
  • i diritti di rettifica (art. 16) o di cancellazione (art. 17);
  • la possibilità di ottenere limitazioni nel trattamento dei dati, in particolari circostanze;
  • la portabilità dei dati, che possono essere ricevuti in un formato strutturato, di uso comune e leggibile da dispositivo automatico, da un titolare del trattamento, e trasmessi a un altro titolare del trattamento;
  • il diritto di opposizione (inclusa l’opposizione alla profilatura di cui all’art. 22);
  • la comunicazione immediata all’interessato nel caso una violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche.

Il regolamento prevede poi la designazione di un responsabile della protezione dei dati (Data Protection Officer, DPO), una figura già presente nella Direttiva 95/46/CE, ma limitatamente ai seguenti casi:

  • quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti di dati che quindi richiedono un monitoraggio regolare e sistematico degli interessati su larga scala;
  • nel caso in cui l’azienda gestisca una grande quantità di dati, di categorie particolari di dati personali di cui all’articolo 9 (come, ad esempio, relativi all’origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all’appartenenza sindacale), o di dati relativi a condanne penali o altri reati.

Sono elencate poi le limitazioni nei diritti previsti dal Regolamento, nei seguenti casi:

  • sicurezza nazionale e difesa;
  • sicurezza pubblica;
  • prevenzione, indagine, accertamento, perseguimento di reati o esecuzione di sanzioni penali, prevenzione di minacce alla sicurezza pubblica;
  • altri obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro;
  • salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
  • attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;
  • tutela dell’interessato o dei diritti e delle libertà altrui;
  • esecuzione delle azioni civili.

In caso di violazione dei principi di base del trattamento; dei diritti degli interessati; delle norme sui trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale; delle disposizioni relative a specifiche situazioni di trattamento di cui al capo IX; dell’inosservanza di un ordine, di una limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi di dati dell’autorità di controllo, sono previste sanzioni pecuniarie (art. 83) fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Infine, vogliamo ricordare che la direttiva 95/46/CE sarà ritenuta abrogata a decorrere da 25 maggio 2018.