Dove vai se la privacy non ce l’hai?

GDPR e normativa privacy: cosa cambia?

E’ trascorso poco più di un mese dall’entrata in vigore (25 Maggio 2018) del Nuovo Regolamento UE sul Trattamento dei dati personali 679/2016 (General Data Protection Regulation) con cui si apre un contesto nuovo che dà attuazione piena al “diritto alla protezione dei dati personali”, contenuto nell’art. 8 della Carta dei diritti fondamentali dell’Unione Europea (cd. Carta di Nizza) ed entrato in vigore con il Trattato di Lisbona. Da ciò l’uso del regolamento per disciplinare la materia che, in quanto riferita ad un diritto fondamentale di tutti i cittadini europei, ne consente l’applicazione uniforme e la tutela su tutto il territorio dell’UE.

Del resto, la precedente normativa europea – recepita in Italia con il Dlgs. 196/2913 (cd. Codice in materia di protezione dei dati personali) e contenuta nella “Direttiva madre” in materia di trattamento dei dati personali, ovvero la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 – era stata adottata avendo come base giuridica principalmente quella della regolazione degli scambi. Conseguentemente, il regolamento europeo 679/2016 abroga la direttiva 1995/46/CE” e, preso atto del mutamento tecnologico e sociale, detta una nuova disciplina che segna una significativa svolta nel panorama giuridico europeo ed internazionale.

La portata dell’innovazione della nuova disciplina europea è infinitamente più forte rispetto la precedente: la direttiva di armonizzazione e le leggi nazionali di recepimento della stessa concepivano la protezione dei dati all’interno di una relazione statica fra il titolare e l’interessato, in una visione di tipo proprietario del dato personale. Il risultato è stato un’applicazione della normativa privacy come puro “formalismo” ovvero come puro rispetto della norma scritta. Con il Regolamento europeo 679/2016 (GDPR) si passa da un modello statico di trattamento dei dati personali ad un modello dinamico. Innanzitutto, il regolamento non riguarda solo la tutela del diritto alla protezione dei dati personali, ma anche la libertà di circolazione dei dati personali nell’Unione Europea, ciò facendo allo scopo di contribuire allo sviluppo digitale dell’UE stessa ed all’aumento della fiducia dei cittadini nella società digitale e nelle nuove tecnologie.

Invero, la precedente direttiva si fondava su un principio di tipo “autorizzatorio”, mentre oggi, con il nuovo Regolamento, è di centrale importanza il principio dell’accountability ovvero la responsabilità del titolare del trattamento dei dati. Il titolare del trattamento ha l’obbligo di “valutare il rischio” che i trattamenti che pone in essere possono far correre alle libertà individuali ed ai diritti delle persone fisiche, compresa la tutela dei dati personali. Il modello attuale si sposta, dunque, dalla difesa del’interessato alla responsabilità del titolare del trattamento: ciò significa che che il titolare del trattamento deve essere in grado di dimostrare che ha adottato un processo complessivo di misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del  regolamento e tutelare i diritti degli interessati. Da qui i concetti di privacy by design e privacy by default –  che riguardano gli approcci di compliance che hanno lo scopo di assicurare che le garanzie di protezione dei dati siano implementate dall’atto della progettazione iniziale dei sistemi di trattamento fino a quello della sua esecuzione e dei suoi successivi sviluppi – nonchè di valutazione di impatto di rischio (cd. DPIA, Data Protection Impact Assessment) che consiste nella valutazione – prima ancora che il titolare inizi un trattamento – dei rischi che il trattamento stesso potrà far correre ad un probabile interessato.

La sfida è oggi è molto più grande: lo scopo del Regolamento è aumentare la fiducia dei cittadini degli Stati membri nell’economia europea come “economia digitale” in grado di tenere la concorrenza nel mondo.

 

E il tuo sito o la tua attività online è a prova di privacy?

Hai un sito web o un’attività on line nei settori creativi o culturali e vuoi maggiori informazioni sulla Compliance Privacy ai sensi del nuovo GDPR? Fai online marketing e vuoi metterti in regola con la normativa?

Se hai altre domande, scrivimi pure. Ti aiuto con gli obblighi di legge.

Iscriviti alla Newsletter



Sono avvocato e mi occupo di progettazione europea per le imprese del settore formativo, culturale ed artistico. Offro consulenza nell’area del diritto editoriale e copyright. Mi occupo di cessione dei translation rights per le opere letterarie.

No Comments

Post A Comment

Condividi9
Tweet
+1
Condividi