Ecco il nuovo regolamento europeo sulla privacy. Vediamo tutte le novità, quando si applica il nuovo regolamento privacy 2018 e quali sono, invece i casi di esclusione
Il nuovo Regolamento privacy sarà operativo a partire dal 25 maggio 2018: entro tale termine dovranno essere adeguate le normative interne di ciascuno Stato membro dell’Unione Europea, compresa ovviamente l’Italia. I soggetti chiamati a maneggiare i dati personali saranno destinatari di nuove regole e sanzioni in casi di mancato adeguamento. Sul punto le domande più frequenti sono le seguenti: chi è tenuto a rispettare la normativa in materia di protezione dei dati personali? In quali casi tale normativa deve trovare applicazione? Quando la nuova disciplina europea non trova applicazione?
A tanto risponderemo nel presente articolo. Vediamo allora quando si applica il nuovo regolamento privacy 2018 e quali sono, invece i casi di esclusione. Ecco i dettagli.
Indice
- 1 Regolamento Privacy 2018: cos’è il Gdpr?
- 2 Nuovo regolamento privacy 2018: cosa cambia
- 3 Nuovo Regolamento privacy: che fare?
- 4 Regolamento Privacy 2018: qual è l’ambito di applicazione
- 5 Regolamento privacy 2018: trattamento dati automatizzato e non automatizzato
- 6 Regolamento Privacy 2018: applicazione extraterritoriale
- 7 Regolamento Privacy: quando non si applica?
Regolamento Privacy 2018: cos’è il Gdpr?
Con l’acronimo inglese Gdpr si fa riferimento al Regolamento europeo in materia di protezione dei dati personali [1] che, seppur in vigore dal 24 maggio 2016, troverà concreta applicazione a far data dal 25 maggio 2018, con la conseguente abrogazione del Codice della Privacy finora vigente [2].
Ciò premesso, preme entrare nel vivo della nuova fonte europea, esaminando, per l’appunto, la portata rivoluzionaria in essa contenuta, avente ad oggetto il trattamento e la libera circolazione dei dati personali.
Ciò che ha indotto l’introduzione di tale regolamento, proprio come precisato dalla Commissione Europea, è stata l’esigenza di dare certezza giuridica, uniformità e semplificazione alla normativa relativa al trasferimento dei dati personali dall’Unione Europea verso il resto del mondo, nonché di istituire uno strumento idoneo a fronteggiare l’evoluzione tecnologica.
In altre parole, il principio ispiratore è quello di armonizzare la normativa sulla privacyin tutti i paesi dell’Unione, semplificare il contesto normativo ove si concentrano gli affari internazionali e di garantire un maggior controllo dei dati di tutti i cittadini europei, soprattutto per quanto concerne social network e provider di servizi cloud.
Nuovo regolamento privacy 2018: cosa cambia
Comprese le ragioni poste a fondamento dell’introduzione del nuovo Regolamento sulla privacy, viene da sé chiedersi cosa sostanzialmente lo differisce dal precedente Codice della Privacy. La domanda allora è: quali sono differenze del nuovo Regolamento Privacy rispetto al precedente Codice della privacy?
Ebbene, il nuovo Regolamento sulla Privacy, nel richiamare i principi già enunciati dal Codice privacy finora vigente, ne introduce anche di nuovi e si rende portatore delle seguenti novità:
- vengono introdotti i cosiddetti principi della “privacy by design” e “privacy by default”, che impongono di prendere in considerazione i profili privacy dal momento della loro progettazione e pianificazione e, consequenzialmente, di adottare tutte le misure tecniche ed organizzative idonee a garantire che venga posto in essere un trattamento, per impostazione predefinita, dei soli dati necessari alla finalità del trattamento.
- Il nuovo Regolamento conserva gli adempimenti già prescritti, ad esempio l’obbligo di fornire agli interessati l’informativa o di acquisire il consenso in assenza di altra condizione di liceità e ne istituisce di altri, inerenti le ulteriori indicazioni sul trattamento che debbono essere fornite all’interessato con l’informativa e il legittimo interesse.
Il Regolamento Privacy 2018 inoltre:
- introduce nuove prescrizioni in tema di tenuta dei registri del trattamento [3] e di obbligatorietà della figura nota come “Date Protection Officer”, da intendersi quale figura professionale avente competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi [4];
- individua nuovi diritti per l’interessato, come il “diritto all’oblio” ed il “diritto alla portabilità dei dati”, trattati con mezzi automatizzati [5];
- amplia notevolmente gli obblighi prescritti, introducendo quello di comunicare all’Autorità le eventuali violazioni dei dati personali (data breach);
- introduce maggiori responsabilità ed un trattamento sanzionatorio molto più rigido, a dispetto di quello previgente. Per dare un’idea più chiara, le sanzioni possono ammontare fino a 20 milioni di euro e, per le imprese, fino al 4% del fatturato annuo dell’esercizio precedente, fermo restando le responsabilità penali comunque addebitabili.
Nuovo Regolamento privacy: che fare?
In virtù di quanto precede, il consiglio per tutti gli interessati è quello di prendere atto della nuova normativa. Le imprese ed i soggetti pubblici, dunque, dovrebbero monitorare scrupolosamente l’attività finora svolta e verificarne la conformità ai principi ed agli obblighi prescritti, colmando le eventuali incongruenze e lacune. Non solo, ulteriore esortazione, è quella di avviare tempestivamente l’iter di adeguamento ai mutamenti che a breve troveranno applicazione, se non altro per non correre il rischio di essere assoggettati alle pesanti sanzioni prescritte.
Per far questo, il primo passo da compiere è comprendere: in quali casi tale normativa trova applicazione?
Scopriamolo insieme.
Regolamento Privacy 2018: qual è l’ambito di applicazione
Per comprendere qual è l’ambito di applicazione del nuovo regolamento privacy, giova preliminarmente soffermarsi su due definizioni:
- quella, tutt’altro scontata, di “trattamento di dati personali”;
- la definizione di “dati personali”.
Ebbene, per “dato personale” deve intendersi qualsiasi informazione concernente una persona fisica identificata o identificabile, ad esempio dati anagrafici, indirizzo di posta elettronica, numero di telefono e via discorrendo.
Il “trattamento dei dati personali”, invece, viene qualificato come una qualsiasi operazione, o insieme di operazioni, compiute con o senza l’ausilio di mezzi automatizzati, ed applicate a dati personali o insieme di dati. In altre parole, si parla della raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione con trasmissione, diffusione o qualsivoglia altro mezzo, interconnessione, limitazione, cancellazione o distribuzione [6].
Il trattamento dei dati, dunque, coinvolge tutte quelle attività che comportano una conoscenza di dati personali, sia mediante l’ausilio di processi automatizzati che non.
La novità del Regolamento in esame sta proprio qui e consiste nel fatto che, a dispetto di quello previgente, per far sì che lo stesso trovi applicazione, il trattamento può essere automatizzato in tutto in parte o, diversamente, può non essere automatizzato, riguardando per l’appunto dati contenuti in un archivio.
In sintesi, il Regolamento dell’Ue, che si appresta a diventare vincolante si applica con riferimento:
- al trattamento interamente o parzialmente automatizzato di dati personali;
- al trattamento non automatizzato di dati personali,
- ai dati contenuti in un archivio o destinati almeno a figurare.
Regolamento privacy 2018: trattamento dati automatizzato e non automatizzato
Conformemente a quanto detto, è bene comprendere la differenza tra trattamento automatizzato e non automatizzato per comprendere l’ambito applicativo del Regolamento.
Il trattamento automatizzato consiste nell’utilizzo di dati personali al fine di valutare determinati aspetti personali, propri della persona fisica di cui ci si interessa, ovvero per analizzare o prevedere aspetti concernenti il suo rendimento professionale, situazione economica, salute, preferenze personali, interessi, affidabilità, comportamento, ubicazione o gli spostamenti dalla stessa compiuti [7].
Posto che il nuovo regolamento è mirato anche ai proprietari e gestori di siti internet, quali contenitori ad oggi di dati personali, serve sapere che l’attività impiegata di raccolta ed elaborazione di dati inerenti gli utenti del servizio, utile per consentire la fornitura di servizi personalizzati o di inviare pubblicità (cosiddetta profilazione), rientra nel novero della forma che può assumere il trattamento automatizzato.
Pertanto, le novità in tema privacy sono dirette, in particolar modo, a tutti i titolari del trattamento che offrono servizi web, i quali, conformemente a quanto dettato, nell’informativa dovranno rendere noto all’utente le modalità e le finalità dell’acquisto dei dati [8], che è bene ricordare, devono riguardare solo quelli utili alle finalità indicate (principio della pertinenza e della proporzionalità).
Non rientrano in tale categoria, ovviamente, i dati personali sensibili.
Il Gdpr, infatti, specifica che questi ultimi sono vietati per scopi decisionali automatizzati, salvo che l’interessato non abbia espresso il suo consenso esplicito e la decisione è necessaria per motivi di interesse pubblico.
Anche se la normativa europea concentra maggiormente l’attenzione sui trattamenti automatizzati, oggetto di regolamentazione sono anche quelli non automatizzati. In altre parole, trattasi di dati contenuti o destinati ad essere contenuti manualmente in un archivio, quali raffigurazione di dati personali meritevoli di tutela.
Regolamento Privacy 2018: applicazione extraterritoriale
Un’altra grande novità del nuovo testo riguarda l’applicazione dello stesso anche al di fuori dell’ambito europeo.
In merito, giova fare una premessa per comprendere meglio la portata innovativa del regolamento.
Le disposizioni contenute nel precedente Codice della privacy trovavano applicazione allorquando il trattamento dei dati personali era effettuato:
- da chiunque risultava stabilito nello Stato o in un luogo soggetto alla sovranità dello Stato;
- da chiunque si trovava nel territorio di un Paese extra UE e si avvaleva, per il trattamento, di strumenti situati nel territorio anche diversi da quelli elettronici.
L’elemento innovativo si concentra proprio qui, vale a dire sul fatto che d’ora anche le imprese situate fuori dall’UE, intente ad offrire servizi e prodotti a persone stabilite nel territorio dell’Unione o a monitorare il comportamento degli stessi, dovranno operare nel pieno rispetto della disciplina europea, pena l’applicazione delle sanzioni prescritte.
Regolamento Privacy: quando non si applica?
La disciplina europea non sempre trova applicazione [10]. Infatti, la stessa non interessa i seguenti trattamenti di dati:
- quelli effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
- quelli effettuati dagli Stati membri nello svolgimento di attività che rientrano nell’ambito della politica estera e sicurezza [11];
- quelli effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, comprese la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione;
- e quelli effettuati dalle persone fisiche per lo svolgimento di attività a carattere strettamente personale e domestico.