Il GDPR 679/2016. Alcune cose da sapere Una disciplina che stravolge le regole in materia di trattamento e conservazione dei dati personali in un ottica rafforzare in modo massiccio i diritti dei cittadini di tutti i paesi dell' UE. Il Regolamento generale per la protezione dei dati personali n. 2016/679 ( cd. GDPR) - Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, effettivamente operativo a partire dal 25 maggio 2018 - è la normativa di riforma della legislazione europea in materia di protezione dei dati. Il suo obiettivo principale è di certo l'armonizzazione della regolamentazione in materia di protezione dei dati personali all'interno dell'Unione europea. Di conseguenza, non ci sarà una normativa italiana in materia, quanto piuttosto dei chiarimenti in relazione ad alcuni aspetti, ad esempio sui poteri dell'Autorità Garante nazionale. Il nuovo regolamento è molto più esplicito vecchia direttiva 95/46, assoggettando la tutela del diritto alla protezione dei dati personali come "diritto fondamentale delle persone fisiche". Il regolamento pone con enfasi l'accento sulla responsabilizzazione (accountability) del titolare e dei responsabili del trattamento, che si deve concretizzare nell'adozione di comportamenti volti fattiva adozione del regolamento. In particolare si evidenzia la necessità di attuare misure di tutela e garanzia dei dati trattati, con un approccio del tutto nuovo che demanda ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel Regolamento (principio "privacy by design", in base al quale i prodotti e i servizi dovranno essere progettati fin dall'inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dall'inizio prevedendo le garanzie per tutelare i diritti degli interessati). In questo senso, l'approccio del regolamento è basato sulla valutazione del rischio (risk based), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. E', quindi, un approccio che tiene in maggiore considerazione le esigenze delle aziende, rendendo meno burocratica la gestione dei dati, con l'evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi parametrati anche all'organizzazione della stessa. E' previsto, inoltre, per i cittadini un più facile accesso alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi: - un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online; l'istituzionalizzazione del diritto all'oblio (denominato diritto alla cancellazione nel regolamento) come previsto dalla Corte di Giustizia europea, che consentirà di chiedere ed ottenere la rimozione dei dati quando viene meno l'interesse pubblico alla notizia; - l'obbligo di notifica da parte delle aziende delle gravi violazione dei dati dei cittadini; - le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del "one stop shop" o sportello unico); - sanzioni amministrative fino al 4% del fatturato globale delle aziende in caso di violazioni delle norme. Con il GDPR, inoltre, i titolari del trattamento dovranno identificare la base giuridica del trattamento (ad esempio il consenso dell'interessato) e documentarla, in quanto in relazione alla base giuridica possono variare i diritti. Ad esempio, è stato rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso. Inoltre, la base giuridica è tra gli elementi essenziali dell'informativa e deve essere evidenziata in riscontro ad una istanza di accesso. Il Regolamento generale si applica ad ogni trattamento che ha ad oggetto dati personali, e a tutti i titolari e responsabili del trattamento stabiliti nel territorio dell'Unione, ma anche in generale a quelli che, offrendo beni e servizi a persone residenti nell'Unione, trattano dati di residenti nell'Unione europea. In tal modo la sua applicazione non è limitata alle sole aziende che si trovano in Europa, ma tutela tutti gli interessati che risiedono nel territorio dell'Unione indipendentemente da dove si attua il trattamento dei loro dati. Il regolamento, invece, non si applica nei seguenti casi: - trattamenti effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell’Unione; - trattamenti effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza); - trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse; - trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (vedi esenzione per uso personale).

​

​