Negli ultimi giorni del mese di maggio siamo stati letteralmente “bombardati” di messaggi sul telefonino e di e-mail, con i quali le aziende (ad es. compagnie telefoniche, social networks, siti internet e negozi ai quali abbiamo indicato il nostro numero di telefono, amministrazioni, ecc.) ci informano di aver aggiornato le proprie policy in punto di Informativa sulla privacy.
Vediamo, dunque, perché e cosa cambierà da ora in poi in punto di privacy per i cittadini.
Già nell’aprile 2016 l’Unione Europea ha emanato un nuovo Regolamento (il n. 670 del 2016, cd. GDPR ossia General Data Protection Regulation, entrato in vigore il 25 maggio 2016) volto a rendere più rigorose ed omogenee a livello europeo le norme vigenti in ogni Stato membro in materia di protezione dei dati personali. Il Regolamento, direttamente applicabile negli Stati aderenti, è divenuto operativo a partire da questo 25 maggio 2018 e gran parte delle aziende, nonostante i due anni di tempo concessi dall’Unione per adeguarsi, hanno provveduto solo in prossimità della scadenza.
Il GDPR si rivolge essenzialmente ad aziende, amministrazioni e professionisti operanti in ambito europeo, imponendo una serie di nuovi obblighi e adempimenti, oltre che cospicue sanzioni per l’inottemperanza alle prescrizioni.
Ma cosa cambia, in breve, per noi cittadini? Ne trarremo qualche beneficio?
La riposta a questa domanda deve essere certamente positiva, in termini di maggior garanzia circa il trattamento e la conservazione dei dati personali che conferiamo quotidianamente (basti pensare a tutte le volte che ci iscriviamo ad un sito, che compiliamo una richiesta di rilascio di fidelity card, che ci rivolgiamo ad una pubblica amministrazione per l’erogazione di una prestazione, ecc.).
In teoria, in base ai principi dettati dal nuovo Regolamento europeo, da ora in poi quando un'azienda cerca di accedere a dati personali, deve chiedere il consenso con “un linguaggio semplice e chiaro” (art. 7), oltre a spiegare bene perché e a quale fine utilizzerà alcune informazioni (art. 13).
Anche il “periodo di conservazione”, ossia la dichiarazione del tempo in cui l’azienda custodirà i dati, fornirà all'utente un ulteriore elemento di valutazione per cedere o meno informazioni a proprio riguardo.
Oltre, quindi, alla prospettiva di una informativa più snella e chiara di quella precedente (per noi dettata dal D.Lgs. 196/2003, ancora vigente ma di prossimo rimodellamento per essere coordinata con la normativa europea), si ampliano i diritti esercitabili da parte del singolo cittadino a tutela dei propri dati personali.
Fra i più rilevanti ci sono il diritto di accesso (art. 15: il cittadino deve poter sapere subito come e perché stanno trattando i suoi dati), il diritto di rettifica (art. 16: “la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo”), il diritto di oblio (art. 17: l'utente può far cancellare i dati di suo proposito, ad esempio se non servono più o sono stati prelevati in maniera illecita) e il diritto alla portabilità dei dati (art. 20: l'utente può ricevere in forma strutturata tutte le informazioni che lo riguardano e trasmetterle a un altro titolare, senza impedimenti di nessuna natura).
Ad esempio da oggi, facendo valere il diritto alla portabilità dei dati, si potrebbero scaricare tutti i propri dati da un social network ed importarli su altro social network concorrente.
Si accorciano anche i tempi per informare l’utente di eventuali data brench (ossia casi di violazione dei dati, che accadono quando un soggetto esterno entra in possesso per vie informatiche di dati custoditi da un'altra azienda), ora solo 72 ore. Infine, l'art. 80 istituisce la possibilità di avviare azioni collettive contro l'uso di propri dati (class actions) attraverso un organismo, un'organizzazione o un'associazione senza scopo di lucro debitamente costituiti secondo il diritto di uno Stato membro.
In sostanza, da ora in poi dovrebbe essere un po' meno improbabile fare guerra ai giganti quando gestiscono in maniera poco trasparente le informazioni che ci appartengono (al fine, si spera, di ottenere un rimborso).
Il GDPR, inoltre, a presidio dei diritti degli utenti ha istituito delle figure che le aziende devono necessariamente nominare ed indicare nella Informativa: oltre al titolare del trattamento, troverete il responsabile del trattamento dei dati (che coadiuva il titolare, per lo più in relazione a particolari tipologie di dati o finalità per cui potrebbero essere indicati anche più responsabili) ed il responsabile per la protezione dei dati (cd. DPO, Data Protection Officer), ossia un professionista chiamato a sorvegliare sull'applicazione esatta del regolamento in cooperazione con l'autorità di controllo.
Ecco, dunque, il vero motivo per cui l’Unione Europea ha deciso di adottare un’unica norma nuova in sostituzione di quelle precedentemente esistenti nei diversi Stati membri (per l’Italia appunto il D.Lgs. 196/2003): elevare il livello di protezione dei dati personali, rendendo le norme adeguate al mondo in cui viviamo, quello delle tecnologie informatiche, dei social e della videosorveglianza.
Per questo motivo, il Regolamento è una norma che deve interessare tutti e non solo chi tratta dati personali per lavoro ma anche – e forse soprattutto - utenti, consumatori e cittadini.
Chi ha scritto questo articolo?
Vorresti chiedere una consulenza legale?
Chiamaci al 340 995 4267 o scrivi una mail a info@carelabpadova.it.