In tema di protezione dei dati personali, la direttiva 95/46/CE, vero caposaldo nell’impianto della vigente normativa dell’UE in materia, rispondeva all’esigenza di salvaguardare il diritto fondamentale alla protezione dei dati nonché a quella di garantire la libera circolazione dei dati personali tra gli Stati membri.
Il quadro giuridico di riferimento, ancora attuale per obiettivi e principi, non è riuscito ad arginare la frammentazione delle modalità di applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica e la diffusa percezione nel pubblico che le operazioni on line comportino notevoli rischi.
Dopo poco più di venti anni, nel corso dei quali si è assistito in Italia all’emanazione di diverse leggi sul tema, poi riunite in un testo unico quale è il vigente Codice in materia dei dati personali (c.d. Codice della privacy) emanato con il d. lgs. 30 giugno 2003, n. 196, diverse circostanze, a partire dal progresso tecnologico in repentina evoluzione, la mutazione e diversificazione delle modalità di raccolta e di trattamento dei dati e le divergenze tra i diversi Stati membri nell’attuazione della predetta direttiva, hanno determinato la necessità di una rivisitazione complessiva della normativa sulla privacy.
Quindi la necessità di una normativa che tenga conto dei mutati orientamenti la quale, oltre a consentire lo sviluppo dell’economia digitale nel mercato interno, possa consentire alle persone fisiche il controllo dei loro dati personali, rafforzando la certezza giuridica e operativa per i soggetti economici e le autorità pubbliche.
A concretizzare questa esigenza di rinnovamento, dopo un lungo e non poco tortuoso iter alla ricerca del consenso sul testo conclusivo, durato più di quattro anni, lo scorso mese di dicembre è stato raggiunto finalmente un accordo definitivo sul Regolamento europeo in materia di protezione dei dati personali , a seguito di negoziati finali tra il Parlamento, il Consiglio e la Commissione europea.
Il nuovo Regolamento europeo sulla privacy consentirà l’aggiornamento e l’armonizzazione della disciplina sulla protezione dei dati personali e, per le peculiarità della fonte regolamentare, sarà applicabile a tutti gli Stati membri in maniera uniforme.
Per ciò che concerne il nostro ordinamento, il Regolamento abrogherà la direttiva 95/46/CE ed anche le relative disposizioni contenute nel Codice della privacy (rimarranno in vigore quelle di attuazione della Direttiva 2002/58 e quelle della Direttiva 2009/136, entrambe relative alla tutela della vita privata e alle comunicazioni elettroniche).
Il Garante europeo della protezione dei dati personali ha indicato gli ambiti che necessitavano di essere specificamente regolamentati e che la normativa europea vigente (compreso il nostro Codice Privacy) non poteva certo prevedere essendo, all’epoca della sua emanazione, inesistenti: innanzitutto l’evoluzione tecnologica che, come già accennato in precedenza, ha reso necessario trovare nuove modalità di raccolta, trattamento e utilizzo dei dati, essendo ormai vetuste quelle in uso.
Poi i Big Data, che sono raccolte talmente vaste ed estese di dati che necessitano di particolari tecnologie per la loro gestione, il cui non corretto utilizzo e/o la di loro sottrazione può comportare la lesione al diritto alla riservatezza degli interessati, le abitudini e i comportamenti dei quali potrebbero essere utilizzate per le più disparate finalità, prima fra tutte quella del marketing.
Ulteriore ambito di intervento riguarda il diritto all’oblio, a seguito della sentenza della Corte di giustizia del 13 maggio 2014, che ha affermato il c.d. diritto all’oblio, ritenendo possibile chiedere direttamente al motore di ricerca (nel caso specifico Google) la rimozione di dati personali se l’interessato ritiene che la loro permanenza non sia più giustificata in relazione al trascorrere del tempo. Le richieste di deindicizzazione di articoli (e cioè il procedimento svolto dai motori di ricerca per la rimozione di contenuti e informazioni dai propri risultati di ricerca), sono ovviamente aumentate in maniera esponenziale, ponendo serie problematiche anche in ordine alle conseguenze sui diritti di cronaca e di espressione, di rango costituzionale.
Infine i social network, poiché dal loro utilizzo derivano i noti rischi per la privacy degli utenti iscritti, molti dei quali non ancora maggiorenni, i cui dati sfuggono al controllo dei soggetti medesimi ai quali risulta pressochè impossibile impedirne la diffusione o ottenerne una cancellazione definitiva, essendo comunque conservati nei server dell’azienda che offre il servizio.
Bisogna inoltre tenere in considerazione che le regole previste per la protezione dei dati in Europa non sono uguali a quelle vigenti al di fuori del territorio dell’Unione, dove il diritto alla protezione dei dati personali è sancito come diritto fondamentale della persona ed il rispetto della sfera di riservatezza di un soggetto è dunque maggiormente sentito e più stringente rispetto alla tutela che viene offerta negli Stati extra-Unione. Se la sede principale del titolare del trattamento è situata in Stati che non prevedono una disciplina ugualmente garantista, la protezione dei dati personali può essere in gran parte impoverita così come il diritto all’autodeterminazione informativa di ogni individuo.
Per ovviare, il Regolamento conterrà una clausola tramite la quale si ovvierà all’applicazione di due normative diverse, stabilendo un’unica disciplina alla quale dovrà sottostare qualsiasi soggetto che offre beni e servizi a cittadini dell’Unione europea, anche se non stabilito nel suo territorio.
Per quanto concerne le novità introdotte dal Regolamento dal punto di vista delle aziende, è previsto l’obbligo di nominare il DPO – Data Protection Officer (che corrisponde al Responsabile per la protezione dei dati, come definito dalla direttiva 95/46/CE) figura che dovrà essere adottata dalle aziende sia pubbliche che private (oltre che da autorità ed organismi pubblici) che trattino i dati di un certo numero di persone (c.d. interessati) o tipologie di dati che per natura, oggetto o finalità siano definite categorie “a rischio” dalla normativa.
L’affidamento di questo ruolo dovrà essere curato con estrema attenzione da parte delle aziende, scegliendo dei professionisti di comprovata esperienza e competenza in materia di privacy, anche per evitare le consistenti sanzioni previste da Regolamento in caso di inottemperanza a tali criteri di scelta: difatti, in caso di particolari violazioni, i responsabili del trattamento potrebbero affrontare multe massime fino a 20 milioni di euro o 4% del loro fatturato annuo globale.
Di particolare interesse sono poi i due nuovi principi introdotti con il Regolamento all’art. 23 , di “tutela del dato fin dalla progettazione” e di “tutela della vita privata per impostazione predefinita”, rispettivamente definiti principi di privacy by design e di privacy by default.
I titolari del trattamento dovranno, pertanto, prevedere meccanismi di protezione dei dati fin dalla progettazione delle attività e per l’intera gestione del ciclo di vita dei dati, dalla raccolta alla cancellazione, incentrandosi sistematicamente sulle garanzie procedurali in merito all’esattezza, alla riservatezza, all’integrità, alla sicurezza fisica ed alla cancellazione dei dati.
Il principio del privacy by design prevede che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all’utilizzo e all’eliminazione finale: la tutela dei diritti e delle libertà degli interessati, con riguardo al trattamento dei dati personali, comporterà l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del Regolamento.
Il principio della privacy by default prevede la messa in atto di meccanismi per garantire che siano trattati – appunto di default – solo i dati personali necessari per ciascuna finalità specifica del trattamento (in sostanza si tratta dell’aggiornamento del principio di necessità sancito dal Codice Privacy, che prevede che nel trattamento dei dati personali, i sistemi informativi ed i software, sin dalla loro configurazione, devono essere predisposti in modo da assicurare che i dati personali o identificativi siano utilizzati solo se indispensabili per il raggiungimento delle finalità consentite, e non anche quando i medesimi obiettivi possano essere raggiunti mediante l’uso di dati anonimi).
Quanto al diritto all’oblio, il Regolamento prevede che ogni persona deve avere il diritto di rettificare i dati personali che la riguardano e il “diritto alla cancellazione e all’oblio”, se la conservazione di tali dati non è conforme al Regolamento. In particolare, l’interessato deve avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il consenso o si sia opposto al trattamento dei dati personali che lo riguardano, o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento.
Si ricorda altresì il principio di accountability, noto anche come “principio di rendicontazione” o meglio “di responsabilità”, che comporterà l’onere di dimostrare l’adozione di tutte le misure e cautele privacy in capo a chi tratta i dati: difatti il Regolamento dispone che il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento. Quest’ultimo stabilisce infatti che dovranno essere costituite e conservate apposite documentazioni attestanti il “modello organizzativo e di sicurezza privacy” e che saranno necessarie “valutazioni d’impatto sulla protezione dei dati personali”, in caso di trattamenti rischiosi. Questo perché diverse aziende svolgono differenti attività e rischi connessi alle stesse, che in termini di privacy possono variare di caso in caso.
Il Regolamento prevede l’introduzione del meccanismo del c.d. one-stop-shop, che permetterà ad una società attiva in più Stati membri di trattare solo con l’Autorità Garante dello Stato in cui ha il proprio stabilimento principale; con la conseguenza, in caso di controversie, di prevedere una sola decisione applicabile a tutto il territorio dell’Unione, riducendo i costi per la risoluzione di tali questioni e fornendo maggiore certezza del diritto.
Infine è stato introdotto l’obbligo per le aziende di notificare all’Autorità competente ed agli stessi utenti le violazioni dei dati personali, c.d. data breaches, avvenute al proprio interno quali, ad esempio, accessi abusivi e/o usi non consentiti, entro un termine temporale prestabilito e decorrente dal momento della scoperta della violazione, nonché il diritto alla portabilità del dato, che consiste nel riconoscimento sia del diritto dell’interessato a trasferire i propri dati (ad esempio quelli relativi al proprio “profilo utente”) da un sistema di trattamento elettronico ad un altro, senza che il titolare possa impedirlo, sia del diritto di ottenere gli stessi in un formato elettronico strutturato e di uso comune che consenta di farne ulteriore uso.