Il 17 dicembre 2015 la commissione LIBE del Parlamento europeo ha approvato il testo definitivo del nuovo Regolamento Europeo in materia di protezione dei dati personali.

Lo stesso dovrà essere ora approvato dal Parlamento Europeo e dal Consiglio dell’Unione Europea.

L’iter di questo Regolamento, che entrerà direttamente in vigore nei singoli Stati membri dell’UE, è stato molto sofferto e sono ormai passati quattro anni dalla prima proposta della Commissione Europea.

La necessità di varare un Regolamento Europeo in materia di protezione dei dati personali nasce essenzialmente dalla continua evoluzione dei concetti di privacy e protezione dei dati personali, dovuta principalmente al progresso tecnologico, che ha reso ormai obsoleta la direttiva 95/46/CE, adottata nel 1995, in un periodo, cioè, nel quale non si avvertiva ancora l’importanza e la portata dei problemi connessi alla massiccia condivisione e della raccolta dei dati.

Di conseguenza, pur restando valido in termini di obiettivi e principi, il quadro giuridico attuale, frammentato a causa delle diverse modalità di applicazione della Direttiva attuate dagli Stati dell’Unione, alimenta l’incertezza giuridica e la diffusa percezione, nel pubblico, dei rischi per la protezione dei propri dati personali rappresentati soprattutto da internet.

È sorta l’esigenza, quindi, di instaurare un quadro giuridico più solido, coerente ed uniforme in materia di protezione dei dati nell’Unione che, affiancato da efficaci misure di attuazione, consentirà lo sviluppo dell’economia digitale nel mercato interno, garantirà alle persone fisiche il controllo dei loro dati personali e rafforzerà la certezza giuridica e operativa per i soggetti economici e le autorità pubbliche.

Tra i principi più rilevanti introdotti dal nuovo Regolamento, occorre menzionare il principio di trasparenza, il diritto all’oblio, il principio di accountability, il principio della privacy by design.

Il principio di trasparenza impone, tra l’altro, che le informazioni destinate al pubblico o all’interessato, riguardanti soprattutto l’identità del responsabile del trattamento e le finalità del trattamento, siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro.

In particolare, le finalità specifiche del trattamento dovrebbero essere esplicite e precisate al momento della raccolta. I dati dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del trattamento; da qui l’obbligo, in particolare, di garantire che il periodo di conservazione dei dati sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde garantire che i dati non siano conservati più a lungo del necessario, il responsabile del trattamento dovrebbe fissare un termine per la cancellazione o per la verifica periodica.

In particolare, sempre nel rispetto del principio di trasparenza, viene favorito l’utilizzo dei c.d. formati multistrato. Le politiche in materia di protezione dei dati, infatti, sono spesso tradotte in documenti complessi che contengono una grande quantità di informazioni. L’obiettivo delle comunicazioni multistrato consiste nel contribuire a migliorare la qualità delle informazioni sulla protezione dei dati ricevute, concentrando per livelli differenziati le informazioni di cui l’interessato necessita per comprendere la propria posizione e prendere decisioni.

Riguardo al riconoscimento del diritto all’oblio, viene stabilito che ogni persona deve avere il diritto di rettificare – ed eventualmente, di far cancellare – i dati personali che la riguardano, se la conservazione di tali dati non è conforme al Regolamento.

In particolare, nel testo del Regolamento il diritto all’oblio è recepito dall’art. 17, dove viene sancito che l’interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il responsabile del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

1. a) i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
2. b) l’interessato ritira il consenso su cui si basa il trattamento e non sussiste altro motivo legittimo per trattare i dati;
3. c) l’interessato si oppone al trattamento dei dati personali e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
4. d) i dati sono stati trattati illecitamente;
5. e) i dati devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento;
6. f) i dati sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

Inoltre, sempre l’art. 17 chiarisce che il responsabile del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione prende le misure ragionevoli, anche tecniche, per informare i responsabili del trattamento che stanno trattando i dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

Tuttavia, dovrebbe rimanere lecita l’ulteriore conservazione dei dati qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione, per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il responsabile del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica e storica o finalità statistiche o per accertare, esercitare o difendere un diritto in sede giudiziaria.

Quanto al principio di accountability, il Regolamento dispone che il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento.

Il termine “accountability”, non agevolmente traducibile, richiama almeno tre elementi:

1. La “trasparenza”, intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per i cittadini, anche in quanto utenti del servizio.
2. La “responsività”, intesa come la capacità di rendere conto di scelte, comportamenti e azioni e di rispondere alle questioni poste dagli stakeholder.
3. La “compliance”, intesa come capacità di far rispettare le norme.

Il nuovo Regolamento recepisce tale principio all’art. 22, il quale prevede che, tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile del trattamento mette in atto misure tecniche e organizzative adeguate per garantire – ed essere in grado di dimostrare – che il trattamento dei dati personali è effettuato conformemente al Regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

Infine, il principio della privacy by design – e quello, connesso, di privacy by default – richiede che la tutela dei diritti e delle libertà degli Interessati, con riguardo al trattamento dei dati personali, comporti l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del Regolamento.

In particolare, il principio è recepito dall’art. 23 del nuovo Regolamento, il quale sancisce che, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso, il responsabile del trattamento mette in atto misure tecniche e organizzative adeguate, volte ad attuare i principi di protezione dei dati in modo efficace e ad integrare nel trattamento le necessarie garanzie, al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.

Lo stesso responsabile del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, di default, solo i dati personali necessari per ogni specifica finalità del trattamento; ciò vale per la quantità dei dati raccolti, l’estensione del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di soggetti.

Avv. Flaviano Sanzari

© Riproduzione riservata