La privacy appartiene da decenni al lessico comune ma è solo da un anno che i cittadini e consumAttori sono finalmente messi nelle condizioni di cancellarsi da banche dati e newsletter. Cosa è successo? In pochi mesi il regolamento GDPR si è rivelato essere uno degli atti normativi più efficaci nella storia dell’Europa unita. L’ABC a seguire.
#GDPR, la fortezza della privacy
Il ‘General Data Protection Regulation’ (GDPR) che riguarda la ‘tutela delle persone fisiche in relazione al trattamento e alla libera circolazione dei dati personali’, ha riformato drasticamente la disciplina della privacy. (1) Con effetti a partire dal 25.5.18 – data della sua applicazione nell’intero Mercato interno – a cui è seguito l’adeguamento del Codice italiano sulla protezione dei dati personali. (2)
La tutela dei dati personali e della riservatezza trova ulteriore e specifica declinazione, nel GDPR, mediante espresso riconoscimento dei seguenti diritti:
– oblio. Deve venire garantita la possibilità di chiedere in ogni momento la definitiva cancellazione dei propri dati personali,
– portabilità. L’interessato ha diritto di ottenere i dati personali che lo riguardano, già forniti a un operatore, onde poterli riutilizzare per altri scopi, (3)
– opposizione. L’interessato ha sempre e comunque la possibilità di opporsi al trattamento dei propri dati personali.
GDPR, i doveri degli operatori
Tutti gli operatori a cui siano riconducibili una serie di attività – raccolta, registrazione, conservazione, diffusione, modifica, cancellazione e distruzione dei dati personali – devono adottare apposite procedure. Più precisamente, devono essere in grado di dimostrare di avere adottato misure tecniche e organizzative efficaci a garantire la correttezza nel trattamento di ogni notizia.
In ogni organizzazione, i soggetti tenuti a occuparsi del trattamento dati sono il Titolare, il Responsabile, il DPO (Data Protection Officer), l’Interessato. A ciascuno le proprie funzioni, competenze e responsabilità, come descritte nel GDPR. La vera novità è rappresentata dal DPO che può venire designato per fornire supporto e verifica, consultazioni e informative, anche in difetto raccordo con l’autorità Garante.
Un documento di ‘accountability’ è necessario ad analizzare i rischi sulla gestione dei dati trattati, nonché a definire le procedure e misure che debbano venire rispettate e vigilate, all’interno dell’organizzazione, per mitigare i rischi stessi.
Le organizzazioni più complesse, al ricorrere di alcune circostanze, hanno dovere di documentare la conformità della propria organizzazione alle prescrizioni della legge su un apposito registro, che potrà venire esaminato dal Garante.
GDPR, controlli e sanzioni
Il Garante per la Privacy demanda alla Guardia di Finanza le verifiche ispettive, al fine di controllare che le aziende rispettino le regole stabilite dal GDPR. Gli ufficiali di polizia giudiziaria sono tenuti a verificare, in particolare, la concreta adeguatezza del documento di accountability rispetto all’esigenza di prevenire i rischi di gestione non corretta delle informazioni individuali.
Le sanzioni sono draconiane. Il GDPR ha introdotto sanzioni amministrative pecuniarie che possono raggiungere i 20 milioni di euro ovvero il 4% del fatturato aziendale.
Il d.lgs. n. 101/2018 ha a sua volta aggiornato le sanzioni penali, in relazione alle fattispecie di reato che seguono:
– trattamento illecito di dati personali,
– acquisizione fraudolenta di dati personali,
– comunicazione e diffusione illecita di dati personali,
– false dichiarazioni al Garante,
– inosservanza dei provvedimenti del Garante.
Fabio Zaninetti e Dario Dongo
Note
(1) Cfr. reg. UE n. 679/16
(2) V. d.lgs. 101/2018, a modifica del d.lgs.196/03
Avvocato specializzato in diritto del lavoro, politiche di valorizzazione delle risorse umane, normative sulla privacy. Ha collaborato per 14 anni con l’Istituto di diritto privato dell’Università Statale degli Studi di Milano.
Dario Dongo, avvocato e giornalista, PhD in diritto alimentare internazionale, fondatore di WIISE (FARE - GIFT – Food Times) ed Égalité.
