In vigore il nuovo regolamento sulla privacy: cosa cambia davvero

gdpr nuovo codice privacy

È legge in vigore dallo scorso 25 gennaio: il Gdpr (General Data Protection Regulation), il nuovo codice sulla protezione dati si applicherà a tutte le informazioni elaborate in Europa o da aziende insediate nella Ue.

Molti i cambiamenti nelle imprese che hanno letteralmente invaso la posta elettronica dei loro contatti per sottolineare il loro aggiornamento, che in molti casi, in realtà, era stato avviato già da diverso tempo.

In molte realtà imprenditoriali, ma anche nella Pubblica Amministrazione, già da tempo, infatti, era stato designato un “Responsabile protezione dati”, ovvero un dipendente che avesse il compito di segnalare eventuali violazioni del codice sulla privacy e l’obbligo di segnalazione di violazioni entro 72 ore.

E per il comune cittadino cosa cambia? Innanzitutto è bene distinguere tre categorie di soggetti coinvolti nel trattamento dei dati:

  • Il Titolare: è colui che gestisce i dati su concessione dell’Interessato
  • L’Interessato: è l’effettivo proprietario dei dati che ne concede il trattamento al Titolare
  • L’Ente terzo: è qualcuno che usa i dati raccolti dal Titolare (es. società esterne che usano i dati a fini pubblicitari e/o di marketing)
  • L’Autorità: è il garante della privacy

Ecco qualche novità introdotta dal regolamento.

Consenso esplicito anche se non necessariamente scritto

Il consenso del cittadino al trattamento dei dati personali deve essere esplicito, ma non è richiesto che venga dato in forma scritta. In realtà, sottolinea il provvedimento, chi tratterà i dati deve essere in grado di dimostrare l’accettazione dell’Interessato, quindi è molto probabile che resteranno le richieste scritte. Il consenso dei minori è valido inoltre a partire dai 16 anni, limite che può essere abbassato fino a 13 anni dalla normativa nazionale.

Basta burocratese

L’Informativa sulla privacy deve “avere forma concisa, trasparente, intelligibile per l’Interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice”. E la stessa cosa si applica alle risposte ad eventuali proteste dell’Interessato. In altre parole dovremmo poter leggere documenti semplici e chiari, non lunghe dissertazioni scritte in burocratese/legalese.

Il principale responsabile è il Titolare

Spetta al Titolare dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento ed è sempre il Titolare che dovrà decidere e modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto di alcuni criteri generali contenuti nel Gdpr. L’Autorità interverrà, se necessario, solo dopo. Da questo nasce la nomina del “Responsabile protezione dati”, ovvero un dipendente o un esterno con il compito di segnalare eventuali violazioni del codice sulla privacy.

Diritto all’oblio, all’accesso e alla portabilità dei dati

L’Interessato, anche dopo la richiesta di revoca del consenso al trattamento dei dati personali, ha il diritto di chiedere la cancellazione di tutti i suoi dati personali precedentemente concessi al Titolare, che ha l’obbligo di informare di questa richiesta anche tutti gli altri titolari eventualmente in possesso dei dati. In altre parole, anche se prima l’Interessato aveva concesso il trattamento, può ritirarlo ed esigere la cancellazione di tutti i dati eventualmente pubblicati (ad es. su siti web).

Inoltre l’Interessato ha il diritto di sapere chi e come sta trattando i suoi dati, può ottenere le sue informazioni e trasmetterle ad un altro Titolare senza alcun impedimento. In altre parole Facebook non sarà più proprietario dei dati e quindi l’Interessato può darli ad altri social network, anche concorrenti.

Notifica violazione dei dati (quasi) immediata

Non potranno più accadere (si spera) casi come quello di Cambridge Analytica, l’azienda di marketing elettorale entrata in possesso di profili di utenti Facebook per sponsorizzare la campagna elettorale di Donald Trump. Questo perché la violazione dei dati dovrà essere comunicata dal Titolare entro 72 ore (e comunque “senza ingiustificato ritardo”).

Fino al Gdpr le società potevano prendersi tutto il tempo che volevano per comunicare l’eventuale “buco” del sito, arrivando a paradossi come quello sopra citato: la violazione risale al 2015, ma il caso è esploso solo nel 2018, tre anni dopo.

Purtroppo però il testo scrive anche che tale comunicazione deve avvenire soltanto se il Titolare ritiene probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Pertanto la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al Titolare.

Al via la class action

“L’Interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro” recita il resto. Questo significa diversi Interessati, o anche uno solo, possono chiedere ad un’organizzazione no profit di difendere i propri interessi (come a volte si vede fare, per esempio, con le associazioni dei consumatori).

In teoria questo potrebbe implicare una maggiore probabilità di successo di cause tra comuni cittadini e giganti dell’”high tech” attraverso class action, ma questo è ancora tutto da dimostrare…

Leggi anche:

Roberta De Carolis

Pin It
Tags:

Cerca