Lo scorso 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale UE il nuovo Regolamento «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali» con cui l’Unione Europea si dota di una nuova legge privacy abrogando la precedente direttiva in materia n. 95/46/CE. Il Regolamento sarà applicabile dal 25 maggio 2018. I legislatori nazionali e gli operatori del mercato avranno così tempo per conformarsi alle nuove disposizioni.
Il Regolamento sarà applicabile a qualunque titolare che, ovunque stabilito nel mondo, offrirà servizi o prodotti a soggetti situati sul territorio dell’Unione. È venuto meno, quindi, il vecchio limite della direttiva che prevedeva la sua applicazione solo ai titolari stranieri che utilizzano strumenti di trattamento situati in un Paese comunitario.
Pertanto, più o meno tutti i grandi operatori del web, per lo più poco inclini a doversi misurare con gli elevati standard europei di tutela della privacy, da maggio 2018 dovranno adeguarsi alle disposizioni del Regolamento garantendo ai propri utenti la portabilità dei dati e strutturando i propri siti con impostazioni privacy predefinite minime.
La portabilità consiste nel diritto dell’interessato di ricevere dal titolare i propri dati personali “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”. I dati non sono più “ostaggio” del fornitore di servizi on-line e chi volesse chiudere il proprio account o migrare su altro fornitore, avrebbe oggi il diritto di portarsi con sé la propria storia e riprendere il cammino con un nuovo provider là dove lo aveva interrotto con il vecchio.
Le impostazioni predefinite sono l’ambito, gli strumenti e le modalità del trattamento predisposte di default dal titolare. Esse devono essere contenute nei limiti del trattamento minimo necessario per il perseguimento del fine per cui i dati sono raccolti. Tali impostazioni, devono essere disabilitate alla prima registrazione (creazione account) rimettendo all’utente la scelta se attivarle o meno solo in un momento successivo selezionando le apposite opzioni privacy.
L’assoggettamento degli operatori stranieri alla legge europea impone ad essi anche alcuni obblighi di organizzazione e processo.
Innanzi tutto, ai sensi dell’art. 30 del Regolamento, il titolare e il responsabile, ove abbiano almeno 250 dipendenti o trattino dati sensibili o giudiziari, devono tenere un registro di tutti i trattamenti compiuti con indicazione delle procedure e misure di sicurezza adottate. Si tratta di una sorta di replica del vecchio Documento Programmatico sulla Sicurezza abrogato nel 2012 e ora reintrodotto solo per gli operatori di maggiori dimensioni.
Quanto ai trattamenti illegittimi, l’art. 33 del Regolamento prevede che entro massimo 72 ore il titolare e il responsabile denuncino ogni violazione dei dati personali. Qualora non lo facessero, ciò potrebbe costituire un aggravante di cui l’Autorità dovrà tenere conto in sede di applicazione e quantificazione della sanzione per la violazione.
Infine, all’art. 37 il Regolamento, delinea i caratteri di una nuova figura professionale, il c.d. responsabile della protezione dei dati. Si tratta di un figura destinata ad assumere un ruolo cardine nelle aziende. Dovrà infatti per legge essere dotato di autonomia e indipendenza e, soprattutto, dovrà sempre essere “coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.
Conclusioni
Il Regolamento sarà senz’altro oggetto di approfondita analisi nei prossimi mesi e il legislatore italiano, nel completare il quadro normativo, darà inevitabilmente degli indirizzi interpretativi.
C’è da aspettarsi, inoltre, che anche l’Autorità Garante fornisca alcuni chiarimenti, sia per replica a richieste provenienti da privati sia di sua iniziativa, come ha già fatto in tante occasioni, con grande limpidità e sinteticità espositiva.
Di contro, è altrettanto vero che si percepisce sempre più un’intenzione dei garanti europei, forti di oltre vent’anni di pratica, di assumere posizioni nette a difesa dei diritti degli interessati e di tenere sotto stretta osservazione i nuovi fenomeni e le realtà aggregative della società dell’informazione arginando il più possibile lo strapotere delle multinazionali, soprattutto nordamericane, poco inclini a doversi misurare con gli elevati standard europei di tutela della privacy.