Dal 25 maggio 2018 si applica in tutti gli Stati membri dell’Unione europea il nuovo Regolamento europeo generale sulla protezione dei dati (chiamato più semplicemente GDPR-General Data Protection Regulation) che abroga la Direttiva 95/46/CE. In Italia, esso va a sostituire il codice in materia di protezione dei dati personali, approvato con il Decreto legislativo n. 196 del 30 giugno 2003. Sostanzialmente sono introdotte regole più chiare in materia di informativa e di consenso e sono definiti i limiti riguardanti il trattamento automatizzato dei dati personali. Vengono, inoltre, poste le basi per l’esercizio di nuovi diritti e stabiliti dei criteri rigorosi in caso di trasferimento dei dati al di fuori dell’Unione europea e per i casi di violazione dei dati personali. Il Regolamento è direttamente applicabile in tutti gli Stati membri dell’Unione europea, è vincolante e non richiede una legge di recepimento nazionale. Si applica integralmente anche a quelle imprese presenti su territori non facenti parte dell’Unione europea, le quali offrono servizi o prodotti a persone che si trovano invece sui territori degli Stati membri. È chiaro dunque che le aziende, ovunque stabilite, che abbiano a che fare con l’UE dovranno rispettare queste nuove regole.
Tra i principi di maggiore rilevanza meritano un particolare approfondimento il principio di trasparenza, il diritto all’oblio, il principio di accountability, il principio della privacy by design.
Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro. Ciò è particolarmente utile in situazioni quali la pubblicità on line, in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell’operazione fanno sì che sia difficile per l’interessato comprendere se vengono raccolti dati personali, da chi e a quale scopo. Dato che i minori necessitano di una protezione specifica, quando il trattamento dati li riguarda specificamente, qualsiasi informazione e comunicazione deve utilizzare il linguaggio semplice e chiaro che un minore possa capire facilmente.
Il responsabile del trattamento deve fornire all’interessato tutte le informazioni e le comunicazioni relative al trattamento dei dati personali in forma intelligibile, con linguaggio semplice e chiaro e adeguato all’interessato, in particolare se le informazioni sono destinate ai minori. In particolare, sempre nel rispetto del principio di trasparenza viene favorito l’utilizzo dei c.d. formati multistrato. Difatti, le politiche in materia di protezione dei dati sono documenti complessi che contengono una grande quantità di informazioni orientate a situazioni specifiche. L’obiettivo delle comunicazioni multistrato consiste nel contribuire a migliorare la qualità delle informazioni sulla protezione dei dati ricevute focalizzando ciascun strato sulle informazioni di cui l’interessato necessita per comprendere la propria posizione e prendere decisioni. Di conseguenza, l’interessato può con un’occhiata alle semplici icone scoprire se e in quale modo i propri dati vengono utilizzati. Si ricorda che come principio di carattere generale il diritto alla trasparenza indica il diritto di ogni cittadino-consumatore a ricevere informazioni, comprensibili, chiare e trasparenti in ogni fase del suo rapporto con l’erogatore del servizio.
Riguardo il riconoscimento del diritto all’oblio ogni persona deve avere il diritto di rettificare i dati personali che la riguardano e il “diritto alla cancellazione e all’oblio”, se la conservazione di tali dati non è conforme al Regolamento. In particolare, l’interessato deve avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento.
Tale diritto è particolarmente rilevante se l’interessato ha dato il consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare questo tipo di dati personali, in particolare da Internet.
Rispondi