PROTEZIONE DEI DATI PERSONALI

Da una piccola indagine fatta tra gli addetti ai lavori nel settore delle nuove tecnologie – siano essi creatori di siti web o siti e-commerce o fornitori di software e hardware – mi sto rendendo conto che sono ancora pochissime le aziende e i professionisti consapevoli del fatto che è già entrato in vigore – e si applicherà a far data dal 25 maggio 2018, in gran parte superando e sostituendosi al D.lgs. 196/2003 – il nuovo Regolamento comunitario n. 679/2016 sulla protezione dei dati personali, regolamento che armonizzerà a livello europeo la disciplina del trattamento e della circolazione dei dati introducendo al contempo novità di grandissima portata.

Questa ignoranza – o, nella migliore delle ipotesi, la totale sottovalutazione della necessità di adeguarsi alla nuova normativa – è tanto più grave se si pensa che il trattamento dei dati personali passerà da vedersi riconosciuta una tutela il più delle volte formalistica quale quella odierna – il più delle volte esaurita dalla sottoscrizione disattenta e frettolosa di moduli standardizzati e infarciti di clausole ai più incomprensibili – a richiedere invece una tutela di carattere sostanziale dei dati delle persone fisiche, tutela che dovrà basarsi, tra le altre cose, su una informativa chiara e completa all’interessato e, quando richiesto, dall’ottenimento di un consenso consapevole e dichiarato espressamente.

Inoltre le sanzioni previste per chi non si adeguerà saranno pesantissime arrivando perfino, nei casi più gravi di reiterata violazione delle norme, all’ordine di cancellazione dei dati trattati in violazione della normativa e, per le imprese, al pagamento di una sanzione pari a una percentuale del fatturato annuo compresa tra il 2 e il 4%.

Cercherò di riassumere di seguito brevemente i punti salienti e le novità principali del Regolamento senza, ovviamente, alcuna pretesa di esaustività e senza trattare in questa sede il tema della ridefinizione dei soggetti coinvolti – titolare del trattamento, responsabile del trattamento, responsabile della protezione dei dati e interessato – e dei loro compiti.

INFORMATIVA TRATTAMENTO DATI PERSONALI

Gli artt. 13 e 14 del Regolamento disciplinano le informazioni tassative che dovranno essere contenute nell’informativa destinata al soggetto i cui dati si vogliono sottoporre a trattamento. Si tratta di un contenuto più ampio ma soprattutto più puntuale rispetto a quello attualmente previsto dal Codice della Privacy. All’interessato – così è definito il soggetto al quale i dati si riferiscono – devono essere comunicati, tra le altre cose, l’identità e dati di contatto del titolare del trattamento, le finalità e la base giuridica del trattamento stesso, l’eventuale possibilità di trasferimento dei dati personali in Paesi terzi, il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e, ovviamente, i diritti che gli spettano quanto all’accesso ai suoi dati, alla loro rettifica, cancellazione o limitazione di trattamento, al diritto di opporsi al trattamento o di esperire i rimedi giuridici previsti a propria tutela. Ma la vera novità è che il Regolamento impone che questa informativa sia data con una forma e un linguaggio chiaro e comprensibile per il destinatario: questo farà sì che il titolare del trattamento dovrà, a seconda dei soggetti ai quali si rivolge, usare espressioni agli stessi intelligibili e che non sarà più consentito, come invece succede oggi, fare un mero rinvio ad articoli di legge quasi sempre redatti con locuzioni tecniche da addetti ai lavori.

CONSENSO TRATTAMENTO DATI PERSONALI

Nei casi nei quali il trattamento dei dati è subordinato alla prestazione del consenso da parte dell’interessato, il Regolamento prevede che tale manifestazione di volontà debba essere esplicita, escludendo, per contro, la possibilità che possa essere tacita o presunta: in base a questa regola, dunque, le caselle pre-spuntate spesso presenti nelle application form che si trovano on-line per la prestazione del consenso saranno da considerare fuorilegge. Oltre a ciò la richiesta di consenso dovrà essere ben distinta e individuabile rispetto ad altre richieste o dichiarazioni rivolte all’interessato. Non solo: il Regolamento, a maggior tutela dell’interessato, prevede inoltre che le modalità attraverso le quali l’interessato può revocare il consenso non possano in alcun modo essere più gravose o macchinose rispetto alle procedure fornite per prestarlo. Saranno dunque bandite tutte quelle tecniche che rendono spesso – e volutamente – un’autentica caccia al tesoro la ricerca delle procedure per revocare il consenso. Se per chiedere il consenso sarà previsto un “click”, altrettanto dovrà essere previsto per revocarlo.

SPECIFICAZIONE DELLE FINALITÀ DEL TRATTAMENTO

Chi vorrà effettuare il trattamento dei dati personali – ovvero ogni operazione o insieme di operazioni fatte su dati personali con o senza l’uso di processi automatizzati e che possono essere, per citare le principali, la raccolta, la registrazione, l’organizzazione, la conservazione, la comunicazione a terzi o la diffusione degli stessi, ma anche la loro distruzione – non potrà più limitarsi a indicare nella informativa delle finalità generiche o vaghe ma dovrà circostanziarle e a quelle attenersi. Una clausola quale “la raccolta dei dati personali è effettuata per finalità inerenti all’attività del titolare dei dati” certo non rispetterebbe il requisito della specificità. Clausole troppo generiche potrebbero, in caso di contestazione, non superare il vaglio delle autorità preposte al controllo: la conseguenza potrebbe essere quella di essere ritenuti responsabili di avere trattato dati personale in modo illecito.

MINIMIZZAZIONE DEI DATI

In considerazione del fatto che i dati personali sono un bene di fondamentale importanza e che il trattamento degli stessi può essere potenzialmente rischioso e comunque invasivo della sfera individuale di ogni soggetto, il regolamento ha in sostanza introdotto una sorta di “modica quantità” di raccolta e trattamento dei dati prevedendo che chi vuole trattare dati personali debba limitarsi a farlo su quelli strettamente pertinenti e necessari, oltre che adeguati, al raggiungimento delle finalità del trattamento stesso. Sarà capitato a tutti di essersi iscritti almeno una volta a una newsletter e di avere dovuto per questo fornire – oltre al proprio indirizzo e-mail, come è ovvio – anche altre informazioni, quasi sempre richieste nella application form come obbligatorie, quali il domicilio, il sesso, l’età. In un caso come questo, se la finalità dichiarata ed esplicitata del trattamento dei dati personali dell’utente è unicamente quella dell’invio di una newsletter, risulta chiaro come tutti i dati che non siano gli estremi dell’account siano ultronei rispetto allo scopo dichiarato e quindi una simile pratica sarà da considerare, alla luce della nuova normativa, contraria al principio di minimizzazione.

TEMPO DI CONSERVAZIONE DEI DATI

La conservazione dei dati personali non potrà più essere a tempo indeterminato – o indeterminabile – nel rispetto del diritto alla riservatezza del soggetto interessato. Per questo il Regolamento prevede che nella informativa data all’interessato vada specificato il periodo di conservazione dei dati o, se non è possibile predeterminarlo – si pensi all’incarico professionale di un avvocato per patrocinare una causa – almeno i criteri utilizzati per determinare tale periodo. Il principio base è che il tempo della conservazione non possa eccedere il tempo necessario al raggiungimento dello scopo del trattamento (vi sono tuttavia eccezioni previste dallo stesso Regolamento). Se una agenzia di viaggio tratta dati personali di un soggetto per la vendita di un pacchetto vacanza – e solo per questa finalità – la conservazione dei suddetti dati non potrà più ritenersi necessaria una volta decorso il termine entro il quale, per esempio, il cliente potrebbe ancora utilmente far valere diritti nascenti dal contratto stipulato con l’agenzia. Tutto questo comporterà la necessità di prevedere procedure per la cancellazione dei dati.

DIRITTO ALL’OBLIO

L’art. 17 del Regolamento prevede il diritto per il soggetto i cui dati sono oggetto di trattamento di ottenere che il titolare del trattamento li cancelli quando i dati non sono più necessari per perseguire le finalità per i quali sono stati raccolti e trattati o quando comunica la volontà di revocare il consenso al trattamento: si pensi, per il primo caso, a una palestra che ha raccolto e trattato dati di un cliente per l’iscrizione ai suoi corsi nell’ipotesi in cui il cliente decida di non rinnovare l’abbonamento. Questo diritto alla cancellazione è già previsto nella normativa vigente ma ottiene con il Regolamento una tutela rafforzata: infatti, in aggiunta, è previsto l’obbligo per i titolari che hanno “reso pubblici” i dati personali dell’interessato – ad esempio pubblicandoli su un sito web – di informare della richiesta di cancellazione altri titolari che trattano i dati personali di cui è stata chiesta la cancellazione, compresi “qualsiasi link, copia o riproduzione” degli stessi .

PORTABILITÀ DEI DATI

Una interessante novità riguarda il diritto del soggetto interessato a richiedere il trasferimento dei suoi dati personali, se trattati in modo automatizzato, da un titolare del trattamento ad un altro. L’interessato ha dunque diritto di ricevere i suoi dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmettere tali dati a un altro titolare del trattamento, o se è tecnicamente fattibile, di ottenere perfino la trasmissione diretta dei dati personali da un titolare del trattamento all’altro. Per comprendere la portata di questa novità normativa si pensi alla possibilità di cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati.

CONSENSO DIGITALE DEI MINORI MAGGIORI DI 16 ANNI

Per quanto riguarda la fornitura di servizi on line – come ad esempio l’accesso a internet o l’iscrizione a un social network – il Regolamento prevede che il “consenso digitale” sia validamente espresso anche dal minore che abbia compiuto i 16 anni di età. Lo stesso Regolamento consente inoltre che gli Stati membri possano stabilire per legge anche un’età più bassa purché non inferiore ai 13 anni.

Le novità sono tante e non si limitano a quelle rapidamente elencate qui: questo è il motivo per il quale il legislatore comunitario ha previsto che il Regolamento, sebbene entrato in vigore nel 2016, trovasse applicazione solo dal 2018, concedendo così due anni di tempo per conformarsi allo stesso.

E maggio 2018 è dietro l’angolo.