☎ : +39 3920719931

L’informativa nel nuovo regolamento europeo privacy

Il nuovo regolamento europeo privacy entrerà definitivamente in vigore il 25 maggio 2018. Molte sono le novità, è importante cominciare ad adeguarsi.

Come ormai noto, il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento europeo in materia di protezione dei dati personali (“General Data Protection Regulation” o “GDPR”), che abroga e sostituisce la Direttiva 95/46/Ce. Esso entrerà definitivamente in vigore il 25 maggio 2018 con efficacia direttamente vincolante per Stati membri, imprese e individui, e si pone quali obbiettivi principali quelli di armonizzare le normative in materia di protezione dei dati personali nei vari Stati membri UE, garantendo un livello elevato e uniforme di tutela dei dati, e di sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.

La nuova informativa

Il nuovo GDPR da una parte ha rafforzato “vecchi” diritti dei cittadini UE, come per es. quello di essere sempre informati in modo trasparente, leale e dinamico sui trattamenti effettuati sui propri dati al fine di esercitare un maggiore controllo sull’utilizzo dei loro dati e quelli di accesso, rettifica od opposizione; dall’altra esso garantisce “nuovi” diritti, come quelli alla portabilità dei dati, all’oblio, alla “limitazione” del trattamento e a essere informati sulle violazioni dei propri dati personali (“data breach”).

Quanto al diritto di ogni interessato a essere correttamente e adeguatamente informato sul trattamento dei propri dati, si ricordi che la materia è oggi disciplinata dall’art.13 del D.Lgs. n. 196/2003 (“Codice in materia di protezione dei dati personali”). Il GDPR “rafforza” ulteriormente tale diritto da un punto di vista sia formale che contenutistico.
Da un punto di vista formale, l’informativa deve essere scritta o resa disponibile anche in formato elettronico; può essere anche orale su richiesta dall’interessato, sempre che sia comprovata con altri mezzi l’identità dell’interessato. Inoltre le informazioni possono essere fornite anche in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto; se presentate elettronicamente, le icone devono essere leggibili da qualsiasi dispositivo.

Ma è sul piano del contenuto che vi sono le novità più rilevanti. Oltre alle informazioni già previste dall’art.13 del Codice privacy, l’informativa deve contenere anche altre informazioni:

  • i dati di contatto della nuova figura del Data Protection Officer, ove prevista;
  • la specificazione di quali siano i legittimi interessi perseguiti dal titolare del trattamento o da terzi, qualora il trattamento si basi sulla necessità di perseguire un legittimo interesse del titolare del trattamento o di terzi;
  • ambito del trasferimento all’estero (ovviamente extra UE) o a un’organizzazione internazionale dei dati personali e con quali strumenti i dati vengono trasferiti (per es. se esistono specifiche clausole contrattuali standard);
  • periodo di conservazione dei dati oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • specifica esistenza del diritto alla portabilità dei dati;
  • l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • diritto di proporre reclamo al Garante per la protezione dei dati personali;
  • eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato;
  • fonte da cui hanno origine i dati personali.

Esonero e deroghe

Vi sono anche casi di esonero dall’informativa (art. 13, paragrafo 4, art. 14, paragrafo 5, e art. 23, paragrafo 1, del GDPR). In particolare, nel caso di dati personali raccolti da fonti diverse dall’interessato (art. 14, paragrafo 5, lett. b), del GDPR) spetta al Titolare valutare se la prestazione dell’informativa “individualizzata” agli interessati comporti uno sforzo sproporzionato. Al fine di tale valutazione, potrebbe risultare utile fare riferimento ai criteri evidenziati nei provvedimenti coi quali il Garante per la protezione dei dati personali italiano ha riconosciuto negli anni l’esistenza di tale sproporzione [doc. web n. 3864423].

Condividi