Alla luce della grande evoluzione tecnologica e del grande aumento della raccolta dei dati personali, e di fronte al crescente numero di persone fisiche che, su scala mondiale, mettono in circolazione nel web i propri dati personali, gli organi di vertice dell’Unione Europea hanno percepito la forte esigenza di garantire alle persone fisiche il controllo sui dati personali, per creare il clima di fiducia necessario per lo sviluppo concreto dell’economia digitale, nel convincimento che una disciplina dei dati personali uguale per tutti gli stati dell’Unione sia idonea a rafforzare la sicurezza dei singoli soggetti-persone fisiche.

La tutela dei dati personali come rappresentata dalla nuova normativa europea, rappresenta, in più, una grande occasione per le imprese, che hanno l’opportunità di rivedere la propria struttura informatica aziendale e di aprirsi al commercio digitale sul piano interno ed internazionale.

Da queste premesse è nata l’elaborazione del Regolamento UE 2016/679 – GDPR, che, all’articolo 1, annovera espressamente il diritto alla protezione dei dati personali delle persone fisiche tra i diritti fondamentali.

L’ABC del GDPR

– lo scopo e la novità principale del Regolamento UE è di garantire all’interessato la possibilità di seguire i propri dati personali anche una volta immessi nel web, in modo da consentirgli in qualsiasi momento di intervenire per modificarli, limitarli, correggerli, fino a chiederne la cancellazione ai soggetti che ne svolgono il trattamento.

– un’altra novità è l’ampliamento della nozione di “dato personale”, già presente nella previgente normativa. Adesso per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

– l’interessato ha quale suo interlocutore naturale il “titolare del trattamento”, cioè la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

– anche la nozione di “trattamento” rilevante ai fini dell’applicazione della normativa è molto ampia, ricomprendendo qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

– il GDPR impone come obbligatoria l’informativa da sottoporre agli interessati prima del trattamento dei dati e ne fissa i contenuti minimi.

– se, tuttavia, l’informativa sui trattamenti è sempre obbligatoria, non lo è (più) anche il consenso dell’interessato, dal momento che il Regolamento europeo individua altre basi giuridiche del trattamento, diverse dal consenso, in presenza delle quali – anche soltanto di una di esse – il trattamento è lecito anche in assenza di espresso consenso dell’interessato. Il consenso resta, comunque, l’elemento cardine intorno al quale ruota tutta la normativa.

– il GDPR amplia il novero dei diritti riconosciuti all’interessato (quelli che nella previgente normativa erano annoverati al noto articolo 7 del D.lgs. 196/2003 – c.d. Codice Privacy, ora abrogato): diritto di accesso, diritto di rettifica, diritto alla cancellazione (“diritto all’oblio”), diritto di limitazione di trattamento, diritto di rettifica, diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione, diritto di essere messe a conoscenza se il trattamento è fondato esclusivamente su processi decisionali automatizzati.

– la nuova normativa europea è tutta incentrata sul principio di “accountability”, cioè sulla “responsabilizzazione” del titolare del trattamento, che è chiamato ad adottare misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali trattati. Questo significa che il titolare del trattamento è lasciato libero di scegliere come proteggere i dati personali afferenti alla propria struttura, pur sempre nel rispetto della normativa vigente, ma tenendo conto, tra l’altro, delle peculiarità dei trattamenti posti in essere e delle relative finalità. Tuttavia, se richiesto, deve provare la conformità al GDPR, a pena di salate sanzioni.

– il rischio più grave configurato dal Regolamento europeo è il “data breach”, ovvero la perdita/dispersione o qualsiasi altra violazione dei dati personali, da cui nasce l’obbligo di notifica all’Autorità Garante entro 72 ore dalla conoscenza dell’evento. Le conseguenze del data breach possono divenire pesanti se dai controlli conseguenti e dalle denunce degli interessati emergono delle responsabilità in capo al titolare del trattamento.

– le sanzioni previste dal GDPR sono piuttosto pesanti: se il fatto non costituisce reato e fatto sempre salvo il diritto al risarcimento del danno degli interessati, il legislatore europeo prevede un lungo elenco fattispecie soggette all’applicazione di sanzioni amministrative pecuniarie ad opera dell’Autorità Garante. Esse si suddividono in due categorie, diversificate per l’entità dell’ammontare del massimo edittale: fino a 10.000.000 euro o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente se superiore e fino a 20.000.000 euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiore.