Informativa e consenso al trattamento dei dati personali
Il GDPR, General Data Protection Regulation, (Regolamento UE 2016/679) è il Regolamento con il quale la Commissione Europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini (persone fisiche) dell'Unione Europea e dei residenti nell'Unione Europea, sia all'interno che all'esterno dei confini dell'Unione Europea (UE). Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, ha iniziato ad avere efficacia il 25 maggio 2018.
Il Regolamento generale sulla protezione dei dati è dunque la nuova normativa sulla privacy per l’Unione Europea. Rovesciando la prospettiva di disciplina di riferimento dei dati personali, la GDPR responsabilizza le aziende, secondo il principio della accountability. I “titolari del trattamento”, sono tenuti ad adeguarsi e rivedere le modalità di trattamento dei dati personali. La norma evidenzia come fondamentali le misure di sicurezza informatica invitando quindi all’uso di strumenti conformi.
Il regolamento stabilisce che si effettuino controlli di sicurezza per prevenire, rilevare e risolvere vulnerabilità e violazioni dei dati. In particolare, bisognerà adottare misure e tecniche organizzative appropriate per proteggere i dati personali da perdita, divulgazione o accesso non autorizzato. Il primo aspetto da tenere sotto controllo sarà quindi il livello di sicurezza informatica dell’intera organizzazione.
La normativa garantisce agli interessati, cioè ai proprietari dei dati personali, l’applicazione del principio di trasparenza. Questi possono infatti richiedere che l’organizzazione condivida con loro i dati che li riguardano, trasferisca i dati ad altri servizi, corregga eventuali errori nei dati o impedisca l’ulteriore trattamento di determinati dati in casi specifici, in ultimo hanno infatti “diritto all’oblio” dei propri dati. Queste richieste devono essere soddisfatte entro un intervallo di tempo definito.
Per «dato personale» inoltre il Regolamento intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome e cognome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
Come in passato, gli interessati possono chiedere di “accedere” ai loro dati – per conoscerne il contenuto e l’origine, le finalità ecc. – o che i loro dati siano “rettificati” a fronte di errori o di omissioni. Un altro diritto che già esisteva è quello di “opposizione”, che il Regolamento articola in più ipotesi. L’interessato può sempre opporsi ai trattamenti per scopi di marketing, a quelli che si basano sul “legittimo interesse” del titolare o che sono necessari per eseguire compiti di interesse pubblico. In questi ultimi due casi, i trattamenti potrebbero proseguire ugualmente se vi sono “motivi legittimi cogenti” per farlo.
I diritti nuovi sono anche quelli che potrebbero essere più onerosi da soddisfare. Il “diritto all’oblio”, in realtà, corrisponde al diritto alla cancellazione che esisteva anche prima. La vera novità, che consente anche di parlare in senso lato di “diritto all’oblio”, consiste dunque nel dovere del titolare, che abbia reso pubblici i dati, di diventare un “tramite obbligato” anche verso gli altri titolari che, a sua conoscenza, stanno trattando i dati oggetto della istanza di cancellazione. Un obbligo limitato dal fatto che non tocca a lui verificare quale sarà il comportamento degli altri titolari, anche tenendo conto che la richiesta dell’interessato deve essere valutata da ciascun titolare al fine di valutare se per lui sussiste o meno il dover di accoglierla (si pensi ai casi di trattamenti basati sul legittimo interesse).
Unifactor Spa ha espresso parere favorevole e interesse al nuovo regolamento GDPR pertanto ha deciso di adottare in collaborazione con la Software House nuove misure di sicurezza in termini di protezione dei dati personali. L’informativa correttamente riformulata e fornita da Unifactor Spa (in allegato) risponde a una molteplicità di funzioni essenziali per la tutela dei diritti e delle libertà degli interessati. Informando preventivamente l’individuo di cui si intende utilizzare i dati personali, gli si consente di avere un quadro complessivo delle finalità e modalità di utilizzo degli stessi e di poter esprimere un consenso realmente consapevole e, allo stesso tempo, di conoscere su quale ulteriore fondamento giuridico si sostanzia il trattamento. In aggiunta, l’informativa mette l’interessato in grado di poter esercitare i propri diritti in relazione al titolare di riferimento, avvalendosi dei canali di contatto e comunicazione in essa indicati.