In quest’ultimo periodo, navigando in rete o ascoltando le pubblicità sui mass media, capita senz’altro di leggere o udire che il prossimo 25 maggio si verificherà una “rivoluzione” nel campo della privacy.
In tale data, infatti, entrerà in vigore in tutte le sue parti il Regolamento europeo 679/16, che apporta importanti modifiche alla disciplina del trattamento dei dati personali.
Le nuove disposizioni sono state emanate direttamente dal legislatore europeo, superando le discipline nazionali vigenti negli stati dell’Unione e si applicheranno in modo uniforme e diretto in tutti gli stati dell’Unione, senza necessità di alcun atto di recepimento.
Il Regolamento, si occupa della “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati”, ha natura di disposizione generale sulla protezione dei dati, ed è noto anche come “GDPR” (General Data Protection Regulation).
Rispetto alla disciplina precedente fissata dal Decreto Legislativo 196/2003 (Codice della Privacy), il testo contiene molte novità che individuano una nuova forma di protezione dei dati personali.
La regola generale, è che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano; il diritto alla riservatezza è infatti inserito fra le libertà fondamentali, indipendentemente dalla nazionalità o dalla residenza degli aventi diritto.
Ecco in sintesi, i contenuti più importanti del nuovo regolamento che le piccole e medie imprese si troveranno a dover rispettare nell’esercizio di attività aventi ad oggetto il trattamento dei dati personali.
Il trattamento dei dati personali in azienda
La definizione di dato personale detenuto dall’azienda risulta ampliata rispetto alle definizioni del Codice della Privacy, poichè viene considerato tale non solo ciò che consente l’identificazione diretta del soggetto (ad esempio nome e cognome) ma anche la possibilità di identificazione univoca del destinatario del trattamento ("interessato").
Si ritiene infatti soggetta al trattamento, anche la possibile individuazione dell’interessato desunta dall’incrocio di dati ed informazioni raccolte attraverso strumenti di comunicazione elettronica.
Costituisce dato personale, infatti, qualsiasi informazione riguardante una persona fisica identificata o identificabile (articolo 4).
Per identificabile, s’intende la persona fisica che può essere individuata direttamente o indirettamente, “con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Il trattamento, è invece “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Una definizione così ampia, consiglia innanzitutto di redigere un elenco completo dei trattamenti eseguiti dall’azienda allo scopo di definire l’ambito dell’attività esercitata e le modalità concrete del trattamento.
I Diritti dell’interessato
Per l’articolo 5, la raccolta dei dati deve essere effettuata nel modo meno invasivo possibile, evitando cioè di acquisire elementi già in possesso dell’azienda e conservando il più possibile la riservatezza e l’integrità di quanto già raccolto.
Eseguita la raccolta dei dati, deve essere fornita adeguata informativa entro un termine ragionevole sulle modalità e finalità del trattamento e deve essere garantito sempre il diritto di accesso.
Rispetto al Codice della Privacy, il carattere più ampio e stringente della definizione di dato personale, renderà probabilmente necessario l’adeguamento delle modalità d’informazione da parte del titolare del trattamento.
Quando è possibile il trattamento di dati personali
La raccolta dei dati è innanzitutto possibile se l’interessato ha espresso il consenso all’attività, individuando una o più specifiche finalità.
Allo stesso modo il trattamento è necessario e pertanto consentito se riguarda l’esecuzione di un contratto di cui l’interessato è parte o l’esecuzione di attività che ne precedono la stipula.
Ugualmente legittimo, è il trattamento occorrente ad adempiere un obbligo legale al quale è soggetto il titolare del trattamento, così come è legittimo (e doveroso) se è occorre alla salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Legittimo e consentito, è anche il trattamento relativo all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, di cui sia investito il titolare del trattamento.
È infine legittimo, ma limitato, il trattamento necessario al raggiungimento di un legittimo interesse del titolare del trattamento o di terzi, purchè non danneggi gli interessi o i diritti e le libertà fondamentali dell’interessato. Il trattamento è ancor più limitato quando l’interessato sia un minore (art. 6, 1° comma, lett. f).
In sintesi, si possono utilizzare i dati personali detenuti anche contro la volontà dell’interessato, ma tale utilizzazione non deve ledere interessi superiori.
Entro questi limiti, ad esempio, sarà possibile l’utilizzazione dei dati nei rapporti tra cliente e fornitore o tra datore di lavoro e dipendente, anche senza il reciproco consenso, ad esempio per far valere un diritto in un giudizio.
In ogni caso, il consenso deve essere “libero, specifico, informato, inequivocabile” ed “esplicito” per i dati sensibili.
Responsabilità del trattamento
Il titolare del trattamento è responsabile della detenzione dei dati e delle conseguenze che possono derivare secondo un generale principio di correttezza e buon senso. In concreto, potrà essere responsabile di fatti accaduti in conseguenza di omesso controllo e sulla protezione dei dati, qualora non dimostri di avere adottato le misure tecniche ed organizzative idonee non invasive, trattando solo i dati necessari per la finalità specifica del trattamento.
Valutazione delle conseguenze del trattamento
In alcuni casi, in presenza di attività ritenute rischiose per la conservazione dei dati, il Regolamento impone una valutazione preventiva dell’impatto. Il titolare, è chiamato a verificare la rischiosità dei trattamenti di dati personali in termini di diritti e libertà degli interessati (Art 35).
La valutazione d’impatto è imposta per attività specialistiche che comportano la profilazione del cliente, il trattamento di dati particolarmente sensibili o le attività di sorveglianza sistematica su larga scala di zone accessibili al pubblico.
Non è escluso, tuttavia che non possa interessare anche piccole imprese o attività professionali che si occupano di questi settori.
Il Regolamento, composto da 99 articoli, contiene ovviamente moltissime altre novità che non è possibile affrontare in questa sede.
© RIPRODUZIONE RISERVATA