Il 24 maggio 2016 è entrato in vigore il Regolamento sulla protezione dei dati personali (Regolamento 679/2016, citato frequentemente con l’acronimo GDPR - General Data Protection Regulation -) che, dal 25 maggio 2018, sostituirà tutte le normative nazionali in materia: tra queste il nostro D.Lgs. 196/2003, il c.d. Codice privacy, disciplina la cui applicazione ha sollevato negli anni diverse difficoltà, e che da quella data verrà abrogata e non dovrà più essere rispettata.

La genesi della nuova normativa va ricercata, da una parte, nell’aumento esponenziale delle attività di raccolta e di condivisione dei dati, sia ad opera di soggetti pubblici che privati; nonché, dall’altra, nel repentino sviluppo delle nuove tecnologie che ha facilitato e moltiplicato le occasioni di circolazione delle informazioni relative agli individui, che spesso pubblicano in prima persona, più o meno consapevolmente, i propri dati personali. Evoluzione che ha dunque reso necessario andare oltre la precedente disciplina (si pensi che quando vennero emanate le prime leggi negli anni novanta solo una minima parte della popolazione europea, intorno all’1%, usava Internet, e non esistevano social network, tablet e app).

Il Regolamento 679/2016 si propone dunque di assicurare un livello coerente di protezione, di garantire certezza e trasparenza nel trattamento delle informazioni, di offrire diritti azionabili ed obblighi omogenei tra gli Stati, di assicurare un controllo ed una cooperazione efficace tra le Autorità competenti. Finalità che cerca di raggiungere attraverso il rafforzamento dei diritti degli interessati, a fronte di una semplificazione degli adempimenti incombenti sui Titolari del trattamento.

Per quanto riguarda l’ambito di applicazione della normativa comunitaria, secondo il criterio “materiale” stabilito dall’art. 2 la disciplina deve essere rispettata nel caso di trattamento interamente o parzialmente automatizzato di dati personali di persone fisiche: quindi anche le Casse di previdenza dovranno farsi carico di adempiere agli obblighi in essa previsti, con riferimento alle informazioni relative ai propri iscritti, dipendenti e fornitori (se persone fisiche). Mentre non si applica ai trattamenti effettuati dalle Autorità per scopi di prevenzione, indagine, repressione di reati, sicurezza pubblica e politica estera, e ai trattamenti posti in essere da persona fisica per soli scopi esclusivamente personali.

Invece, secondo il criterio “territoriale” (art. 3), la nuova disciplina, rispetto all’attuale, è maggiormente pervasiva: questo in particolare perché al già noto principio di “stabilimento” (la normativa deve essere rispettata da chi tratta dati personali “stabilito” all’interno dell’Unione) si aggiunge quello del “target”, secondo cui il Regolamento europeo si applica a chiunque utilizzi dati personali di cittadini U.E. da qualunque posto del mondo (nel caso in cui la finalità di tale utilizzo riguardi il monitoraggio del loro comportamento, oppure l’offerta di beni o la prestazione di servizi). Forte ampliamento del campo di applicazione per evitare la sua elusione a causa della nazionalità extra UE del Titolare.

Con riferimento agli obblighi in capo a chi utilizza le informazioni, in generale cambia proprio l’impostazione dell’attività che si deve porre in essere per rispettare la disciplina in materia: non si deve più prestare attenzione solo ai singoli adempimenti da realizzare, nella specifica attività di trattamento della particolare tipologia di dati personali; ma si deve prendere in considerazione la complessiva realtà legata all’utilizzo delle informazioni personali nella propria struttura. Impostazione che si concretizza nei principi di “privacy by design” e “privacy by default”, nella valutazione di impatto privacy (non più limitata ai soli aspetti relativi alla sicurezza, ma estesa all’intera attività che viene realizzata sui dati), nella tenuta del Registro dei Trattamenti, nella nomina del Data Protection Officer (D.P.O., cioè il “Responsabile della protezione dei dati personali”, figura che ha suscitato grande interesse e sulla quale sono state riportate molte inesattezze, ma che dovrà essere nominato anche dalle Casse di previdenza), nel principio di accountability, cioè di “responsabilizzazione”: obbligo quest’ultimo che consiste nella predisposizione, da parte del Titolare, di misure idonee ad esaminare preventivamente l’effetto che le attività svolte esercitano sul trattamento dei dati posto in essere, da cui poi far derivare gli specifici adempimenti nella nuova versione stabilita nel Regolamento. Di questi, molti vengono ripresi dall’attuale disciplina, mentre si aggiungono, tra gli altri, l’obbligo di notificare eventuali data breach sia all’Autorità che agli interessati le cui informazioni abbiano subito un danno, o il potenziamento delle cautele nel caso di trasferimento di dati all’estero, o ancora la maggiore determinazione dell’obbligo del consenso e l’attenzione alla comprensibilità di quello di informativa. 

Con riferimento alla nuova disciplina relativa ai diritti dell’interessato, viene ribadita l’importanza dell’informativa (artt. 13-14), rispetto alla quale aumenta l’attenzione per la sua efficacia; si rafforza poi il consenso in caso di minore età, e si introduce la facoltà di richiedere la limitazione del trattamento ad alcune delle finalità perseguite dal Titolare; l’art. 20 sancisce un nuovo diritto alla portabilità dei dati, e, rispetto al c.d. diritto all’oblio (cioè il diritto alla cancellazione dei dati che non hanno più necessità o motivo di essere trattati), l’art. 17 estende la sua portata e il suo ambito di applicazione, seppur condizionato; infine, si stabiliscono procedure che consentono una maggiore facilità nel rivolgersi all’Autorità garante, permettendo quindi una più incisiva possibilità di tutela per l’interessato.

A tale proposito la figura del Garante per la protezione dei dati personali viene confermata, ed anzi potenziata, anche attraverso la previsione di un nuovo “Comitato europeo della protezione dei dati personali”: realtà che unisce le varie Autorità dei diversi Paesi membri, imponendo una cooperazione fra le stesse, anche in occasione di eventuali attività di controllo congiunte. In tale ambito si introduce poi il meccanismo dello “sportello unico”, grazie al quale è possibile rivolgersi al Garante italiano anche per gestire pratiche negli altri Paesi UE.

Con riferimento alle sanzioni, il Regolamento rivede sostanzialmente la disciplina precedente, che viene semplificata ad iniziare dai parametri di commisurazione delle stesse: i nuovi importi non sono più legati ad una misura minima (scelta che permetterà una maggiore equità nelle situazioni in cui l’illecito rivesta una lieve importanza), ma allo stesso tempo si prevede un sensibile aumento del parametro massimo. Così, si stabiliscono due categorie di conseguenze pecuniarie: fino a 10.000.000 euro o, se impresa, fino al 2% del fatturato totale annuo dell’esercizio precedente, per alcuni tipi di inadempimenti (ad es. quando si effettua un trattamento di dati personali dei minori violando l’art. 8 del Regolamento); fino a 20.000.000 euro o, se impresa, fino al 4% del fatturato totale annuo dell’esercizio precedente, in ipotesi di violazioni più importanti (ad es. nel caso vengano trattati dati sensibili fuori dai casi in cui è consentito, art. 9).

In conclusione già dalla lettura di questo breve commento si può comprendere come l’applicazione del GDPR europeo richiederà un sostanziale cambiamento nelle pratiche commerciali per quelle strutture che non avevano già implementato la precedente disciplina, raggiungendo un livello almeno accettabile di tutela dei dati personali utilizzati nella propria attività. Mentre per chi era “in regola”, l’attività necessaria sarà innanzitutto quella di adattare le procedure in essere, realizzate sulla base del D.Lgs. 196/2003, al Regolamento; andranno poi realizzati i nuovi adempimenti, la cui principale difficoltà sarà soprattutto quella di allinearsi con il diverso approccio della disciplina europea. Nulla di impossibile, ma certo è che occorre evitare di occuparsene a fine aprile 2018!