Il nuovo Codice della Privacy: GDPR (General Data Protection Regulation)

Il prossimo 25 maggio 2018, con l’obiettivo di semplificare e rendere omogenea la normativa in materia di privacy all’interno dei Paesi della Ue, sarà applicato a tutti gli operatori che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea il Regolamento Ue 2016/679 che disciplina e sancisce il nuovo codice della privacy.
Tutte le organizzazioni, siano esse pubbliche o private, che utilizzano informazioni sensibili, che memorizzano e/o elaborano i dati personali di un cittadino dell’Unione europea saranno obbligate a garantire la protezione, la riservatezza, la disponibilità e la liceità e trasparenza dei trattamenti relativi ai dati.
Il nuovo regolamento UE, recepito di recente in Italia, impone alle aziende l’onere di assumersi maggiori responsabilità sui dati degli utenti e le obbliga a mettere in atto una serie di adempimenti per proteggerli: dall’obbligo della cifratura dei dati a quello di notificare entro 72 ore all’Autorità di protezione dei dati una qualsiasi possibile violazione di dati personali (data breach). Il testo affronta anche il tema dell’esportazione di dati personali al di fuori dell’Unione europea e obbliga tutti i titolari del trattamento dei dati (anche con sede legale extra Ue) che trattano informazioni di cittadini comunitari a osservare e adempiere agli obblighi previsti.

Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Il GDPR fornisce la definizione di dato personale «qualsiasi informazione riguardante una persona fisica identificata o identificabile» e considera identificabile «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale». Da questa definizione si desume come la protezione offerta dal Regolamento sia diretta esclusivamente alle persone fisiche, indipendentemente dalla nazionalità o dal luogo di residenza, e non alle persone giuridiche. Un elemento importante è poi dato dall’indicazione delle tipologie di attività rilevanti ai sensi della nuova normativa: la nuova disciplina dovrà infatti essere applicata ai casi di trattamenti di dati personali interamente o parzialmente automatizzati, nonché ai trattamenti manuali che abbiano ad oggetto dati personali contenuti o destinati a essere contenuti in archivi.

Uno degli obiettivi cardine del legislatore europeo nel delineare i confini di applicazione del Gdpr è stato quello di creare una struttura giuridica stabile, in grado di affrontare e superare i possibili (e probabili) tentativi di elusione delle regole di nuova introduzione. E, come punto di partenza per raggiungere questo risultato, ha cercato di dare alla protezione dei dati personali un’impostazione neutrale soprattutto sotto il profilo tecnologico, in continua evoluzione e di difficile controllo.
Il nuovo regolamento non si applica alle attività svolte a carattere esclusivamente personale e /o domestico da parte di persone fisiche, non connesse ad attività commerciali e/o professionali.
Le violazioni saranno punite con sanzioni che possono arrivare fino al 4% del fatturato totale annuo dell’azienda, o a una somma di 20 milioni di euro.