Oggi, venerdì 25 maggio 2018 cambia la legge sulla privacy, entrano infatti in vigore le norme previste Gdpr (General Data Protection Regulation) ossia dal regolamento Ue 2016/679. Da questa data la GDPR sostituisce la direttiva europea sulla protezione dei dati adottata nel remoto 1995, quando ancora internet non era presente nelle nostre vite.
Tutti, a giusta ragione, ne parlano perché è una sorta di rivoluzione di quelli che sono gli obblighi e i diritti in materia di privacy delle singole persone, delle imprese, delle istituzioni.
Intanto vediamo che cosa è e a che cosa serve il Gdpr
Il GDPR, lo dice il nome General Data Protection Regulation, nasce per specifiche esigenze di certezza giuridica ed è volto ad armonizzare e d a semplificare le norme che riguardano il trasferimento di dati personali dall’Ue verso altre parti del mondo.
Tutti cittadini europei grazie al nuovo regolamento generale sulla protezione dei dati (GDPR), avranno maggior controllo su quelle che sono le modalità con cui i loro dati personali sono raccolti e utilizzati e, quindi, una protezione migliore
L’importanza e la necessità di questo cambiamento la si capisce facilmente se consideriamo che attualmente oltre 250 milioni di cittadini europei utilizzano Internet quotidianamente condividendo innumerevoli quantità di dati personali, a partire da nome e cognome, per arrivare all’indirizzo di casa, a quello che è l’ orientamento politico passando addirittura le informazioni sul proprio stato di salute.
Questi dati sensibili non sono stati controllati a sufficienza e la loro condivisione ha certamente messo a rischio divulgazioni non autorizzate a scopo di lucro, il furto, l’abuso di identità online.
Questa problematica è avvertita dai cittadini italiani che, rileva un sondaggio sulla Data Protection, commissionato dalla Commissione Europea, sentono di non avere il controllo completo dei propri dati personali, di non fidarsi delle aziende che operano online, sono preoccupati in merito alle app dei telefoni mobili che raccolgono dati senza il loro consenso e sull’utilizzo che le organizzazioni possono o potrebbero fare delle informazioni divulgate.
Gdpr: quali sono le novità
Věra Jourová, la Commissaria responsabile per la Giustizia e la tutela dei consumatori ha dichiarato «Proprio per far fronte a queste preoccupazioni è venuto in soccorso il nuovo regolamento europeo sulla privacy,…. il regolamento generale sulla protezione dei dati garantisce ai cittadini dell’Unione europea un maggiore controllo sui propri dati personali…I dati su internet saranno maggiormente protetti con alcune restrizioni sui meccanismi di “profiling”. Verrà introdotto l’obbligo di utilizzare un linguaggio chiaro nelle regole relative alla privacy e chi fornisce servizi internet avrà bisogno di un consenso esplicito prima di utilizzare i dati personali dei clienti».
Quindi il nuovo regolamento introduce regole più chiare in materia di informativa e consenso, definendo i limiti al trattamento automatizzato dei dati personali e stabilendo anche criteri e sanzioni rigorosi nei casi di violazione dei dati personali (che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato annuo)», indica una nota della Commissione Europea.
D’ora in poi è possibile chiedere di essere rimossi in qualunque momento dalle liste di marketing di un’azienda, oppure, importantissimo, è possibile fare eliminare un contenuto online che ci ha messo in imbarazzo, oppure, di ricevere una copia dei dati che ci riguardano dal vecchio fornitore, per trasferirli più agevolmente ad un nuovo fornitore.
Uno degli aspetti più importanti all’interno della nuova normativa è la disciplina del consenso, cioè una delle basi giuridiche che consentono agli operatori di trattare i dati degli utenti. Un esempio concreto: molte applicazioni e giochi che girano su Facebook o alle tante applicazioni che fino ad oggi, e da oggi non possono più, affermavano che senza il consenso all’utilizzo dei dati non possono erogare il servizio. Il consenso dovrà essere dato liberamente, quindi quando noi vorremo usare un’applicazione potremo anche dover avere la scelta di dire “la uso, ma non voglio concedere il trattamento dei miei dati da parte di chi ha sviluppato l’applicazione”».
Il Diritto all’oblio
Altra novità importate è il diritto all’oblio.
Il diritto all’oblio rispecchia quello è il sacrosanto diritto di ognuno di noi di far dimenticare a tutti la propria identità. Si chiede di obliare ciò che riteniamo non debba essere più parte della nostra identità personale.
Il diritto all’oblio può essere praticato attraverso la richiesta di rimozione delle informazioni personali che ci riguardano dalla loro pubblica circolazione. Per questo lo si può equiparare al diritto alla cancellazione, anche se, in realtà, sono diritti diversi tra loro: la pretesa di cancellazione delle nostre informazioni personali è una conseguenza dell’esercizio del diritto all’oblio e la si può pretendere anche per presupposti diversi.
Il tema del diritto alla memoria viene perfettamente espresso in poche righe da Francesco Pizzetti (cfr. Privacy e il Diritto Europeo alla Protezione dei Dati Personali, Giappichelli, 2016):
“Da un lato, essi aspirano all’immortalità e, sapendo di non poterla avere, cercano di lasciare il più a lungo possibile memoria di sé come unico modo per prolungare la propria vita, o meglio il ricordo nel futuro del fatto che essi sono esistiti, e di ciò che hanno realizzato.”
“All’opposto, ogni persona umana ha anche il terrore che ogni atto negativo compiuto nel corso della propria esistenza possa essere ricordato per sempre, o almeno fino a quando è in vita e lo sono quelli che ne hanno memoria.”
È con il diritto all’informazione (diritto di cronaca) che il diritto all’oblio si scontra in maniera molto evidente,
Si può pretendere che le proprie informazioni personali siano sottratte alla pubblica circolazione proprio a fronte del diritto all’oblio di cui all’art. 17 del GDPRche è il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale.
La norma precisa anche che la cancellazione è obbligatoria quando i dati siano stati raccolti in base all’art.8, paragrafo 1, e cioè rispetto a servizi offerti dalla società dell’informazione a minori di anni 16 (o dell’età che ciascun Stato potrà fissare purché non inferiore a 13 anni) senza il consenso di chi ha la responsabilità genitoriale.
La norma specifica e sottolinea, e sta qui la vera novità, il dovere specifico posto a carico del titolare che riceve una richiesta di cancellazione quando i dati che ne sono oggetto siano stati “resi pubblici” dal titolare stesso.
In questa ipotesi l’art. 17 paragrafo 2 impone al titolare non solo di cancellare i dati (sempre ovviamente che ritenga la richiesta legittima per quanto lo riguarda) ma anche di adottare “misure ragionevoli, anche tecniche” per informare della richiesta che gli è pervenuta anche gli altri eventuali titolari che stanno utilizzando i dati a lui resi pubblici.
Questo obbligo, ovviamente, sussiste quando la richiesta dell’interessato abbia ad oggetto la cancellazione di “qualsiasi link, copia o riproduzione dei suoi dati personali” imponendo al titolare in questione, l’obbligo di diventare in “intermediario necessario” tra l’interessato e chiunque stia trattando i dati di questo, qualora, ovviamente, i dati oggetto della richiesta sono stati resi pubblici dal titolare stesso, ed egli è a conoscenza che altri titolari li stiano trattando.
Insomma la nuova normativa protegge certamente di più e sanziona chi mette il pericolo la privacy altrui.