Dal 25 maggio 2018 vige il Regolamento Ue 2016/679. Vediamone gli aspetti più importanti
Di recente approvazione, il Regolamento Ue 2016/679, più noto come Gdpr (General data protection regulation) sulla protezione e sulla libera circolazione dei dati personali è entrato in vigore il 24 maggio 2016 nell’Unione europea, e in Italia a partire dal 25 maggio 2018.
Lo scopo del Regolamento è di promuovere lo sviluppo di una nuova forma di protezione dei dati personali in un’ottica di difesa dell’identità e della libertà delle persone. Il contesto di emanazione del Regolamento è frutto delle innovazioni tecnologiche, soprattutto in ambito comunicativo. L’avvento dei social network e la globalizzazione di internet, infatti, ha stravolto la considerazione e la nozione stessa di dato personale, in un’era, quale l’odierna, sempre più digitale. Il Regolamento viene salutato come un elemento rivoluzionario nell’approccio alla protezione dei dati personali: ogni gestore dovrà configurare la propria tutela in modo da rendere più efficace possibile la protezione del dato che si trova di volta in volta ad elaborare. Tra le principali forme di tutela, il Regolamento prevede una serie di diritti riconosciuti ai cittadini.
In primo luogo, emerge il diritto alla portabilità dei dati, cioè l’interessato ha il diritto di ottenere la restituzione dei propri dati personali forniti a un’azienda o a un servizio online. È anche ricompreso il diritto di essere informato in modo trasparente, leale e dinamico circa il trattamento dei dati che lo riguardano. I dati personali vanno trattati in modo corretto e trasparente; devono essere raccolti per finalità predeterminate, legittime, rese note all’interessato in maniera esplicita e solamente per tali finalità vanno trattati. Devono poi essere conservati in modo da consentire l’identificazione del soggetto che lo ha reso.
Il trattamento deve attenersi alla tutela e sicurezza del dato personale in quanto elemento che permette l’identificazione del soggetto; per cui ogni trattamento od ogni distruzione non autorizzata comporta la violazione del Regolamento e l’applicazione di pesanti sanzioni. La forma di trattamento più insidiosa, per quanto riguarda la moderna disciplina del trattamento automatizzato dei dati esposti in rete, riguarda la cosiddetta profilazione, ovvero l’impiego dei dati che connotano gli aspetti personali (ad esempio, i gusti) di una persona fisica, con lo scopo di analizzarne gli aspetti decisori e di prevederne elementi correlati quali le preferenze personali. A tale riguardo, il Regolamento permette all’interessato di negare il proprio consenso a qualunque trattamento automatizzato, compresa la profilazione. Altri due importanti principi, che riguardano la posizione del titolare del trattamento, sono il principio della privacy by design ed il principio della privacy by default.
Il primo principio affermato, quello della privacy by design, implica che la tecnologia del servizio o del processo sin dalla sua origine sia dotata di tutte le accortezze necessarie all’adeguata tutela dei dati personali degli interessati. Altro e complementare è quello della privacy by default, che riguarda la raccolta dei dati attraverso una modalità che limiti la raccolta all’indispensabile e una predeterminazione delle finalità del trattamento che richiedano una conservazione predefinita e adeguata, che avvenga nella minor misura possibile, ovvero il più possibile limitata nel tempo e nel contenuto. È previsto, infine, un default setting, ovvero un’impostazione di base del dispositivo elettronico secondo cui l’utente medio sceglierebbe l’impostazione sulla privacy più restrittiva o attenta alla protezione dei dati personali dell’utilizzatore, e pertanto questa regolazione viene preimpostata nell’apparato.
Serena Solmi
(LucidaMente, anno XIII, n. 151, luglio 2018)
