Dal 25 maggio 2018 è direttamente applicabile, in tutti gli Stati membri, il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – per mezzo del quale la Commissione Europea ha inteso rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione europea, sia all’interno che all’esterno dei confini dell’UE.
Il GDPR si propone pertanto l’obiettivo di semplificare il contesto normativo unificando e rendendo omogenea la normativa Privacy dentro l’UE. Il Regolamento sostituisce i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) ed in Italia abroga le norme del Codice per la protezione dei dati personali (d.lgs. n. 196/2003) con esso incompatibili.
Il regolamento riguarda la gestione dei dati personali i.e. qualunque informazione relativa ad un individuo, collegata alla sua vita sia privata, che professionale o pubblica (nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, indirizzi IP di computer o informazioni mediche, biometriche o genetiche)
In estrema sintesi, col GDPR si introducono regole più chiare su informativa e consenso, si circoscrivono limiti al trattamento automatizzato dei dati personali, vengono poste le basi per l’esercizio di nuovi 12 diritti (tra cui il cd. diritto all’oblio e la portabilità dei dati), stabiliti criteri rigorosi per il trasferimento dei data al di fuori dell’Ue e fissate norme rigorose per i casi di data breach.
In particolare, la sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento, chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. A tal fine il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito, salvo che lo richieda il diritto dell’Unione o degli Stati membri. A garanzia dell’interessato, il Regolamento disciplina anche il caso di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale e prevede che l’interessato venga prontamente informato in presenza di una violazione che metta a rischio i suoi diritti e le sue libertà.
Il principio di responsabilità legato al trattamento dei dati personali resta ancorato, come nel Codice per la protezione dei dati personali, ad un concetto di responsabilità per esercizio di attività pericolosa con una valutazione ex ante in concreto ed una sostanziale inversione dell’onere della prova.
Il titolare del trattamento dei dati avrà l’obbligo legale di rendere note le fughe di dati all’autorità nazionale e di comunicarle entro 72 ore da quando ne è venuto a conoscenza. In alcune situazioni le persone di cui sono stati sottratti i dati dovranno essere avvertite.
Le sanzioni potranno andare da un’ammonizione scritta in casi di una prima mancata osservanza non intenzionale a multe per importi compresi tra i 10 ed i 20 milioni di euro, ovvero tra il 2% ed il 4% del fatturato mondiale relativo all’anno precedente in caso di società, gruppi e/o studi internazionali di grandi dimensioni.
Il regolamento si applica anche ad imprese ed enti, organizzazioni in generale, con sede legale fuori dall’UE che trattano dati personali di residenti nell’Unione Europea. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server).
Un’ulteriore novità è l’istituzione della figura del “Responsabile della protezione dei dati” (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. Viene designato sistematicamente dal titolare e dal responsabile del trattamento in tre occasioni: quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni); quando le attività principali del titolare e del responsabile del trattamento richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando il trattamento riguarda, su larga scala, categorie di dati (ex dati sensibili) ovvero relativi a condanne penali e reati.
In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.
Un’ulteriore rilevante novità concerne il cosiddetto diritto all’oblio: in determinati casi, l’interessato ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano e il titolare del trattamento ha l’obbligo di provvedere senza ingiustificato ritardo. Tale diritto si è affermato nella giurisdizione della CGE a seguito del caso “Google Spain”, dove fu affermato il diritto alla deindicizzazione delle informazioni personali dai motori di ricerca del mondo web. Con il GDPR si è andati oltre la semplice deindicizzazione. E’ richiesta una vera e propria eliminazione del dato dagli archivi del titolare del trattamento. Peraltro, la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati personali comporta anche il suo obbligo di trasmettere tale richiesta agli altri titolari che utilizzano tali dati.
Ovviamente, anche gli studi legali dovranno adeguarsi al GDPR ed, a tal proposito, la Commissione privacy del Consiglio Nazionale Forense presso il Ministero della Giustizia ha diffuso le “Linee guida per gli Avvocati in materia di protezione dei dati personali”.
I dati ai quali l’avvocato ha accesso, nell’esercizio delle sue funzioni, sono per loro natura particolari e soggetti a maggiore tutela: “essi possono infatti riguardare la salute, l’orientamento religioso politico o sessuale, dati giudiziari, situazione familiare, dati di minori e molto altro, ed il loro trattamento osserva una logica specifica, diversa da quella dell’impresa commerciale, essendo intimamente connessa al rapporto di fiducia che lega l’avvocato al suo cliente e al rispetto degli obblighi deontologici, primo fra tutti l’obbligo di garantire il segreto professionale”.
Precisa peraltro il CNF che le linee guida non pretendono di essere esaustive, «anche in considerazione sia del fatto che il Regolamento, con l’introduzione del principio di responsabilizzazione (accountability) prevede che ciascuno conformi le misure da adottare alla propria organizzazione, sia che, al momento della sua redazione, non è ancora stato approvato in via definitiva il decreto legislativo di adeguamento e armonizzazione dell’ordinamento al GDPR (decreto che, pur non incidendo sull’applicabilità diretta delle norme del Regolamento, dovrebbe introdurre regole specifiche in tema di trattamenti di alcune categorie particolari di dati, nonché dei dati giudiziari, e prevedere delle specifiche norme transitorie), e saranno pertanto soggette a modifiche ed ampliamenti».