A partire dal 25 maggio 2018 entrerà in vigore il Regolamento n. 679/2016 dell’Unione Europea (UE), che cambierà le abitudini dei cittadini, delle imprese e delle Pubbliche amministrazioni (PA) in materia di protezione dei dati personali. Esso abroga la precedente Direttiva n. 95/46/CE in materia di privacy, recepita in Italia dal D.lgs. n. 196/2003, la cui disciplina è familiare ai cittadini per gli obblighi di informativa e di trasparenza previsti in capo ai soggetti pubblici e privati che richiedono dati personali e per la necessità di prestare il proprio consenso preventivo al loro trattamento.
Il Regolamento n. 679/2016 conferma e rafforza il principio che riconosce nella protezione dei dati un diritto fondamentale. Per questo intende garantire ai cittadini un maggiore livello di tutela e di controllo alla luce dell’odierno contesto sociale, in cui si pubblicano con facilità i propri dati personali sulle piattaforme on line, e dello scenario economico, in cui il mercato digitale ha prodotto un considerevole aumento degli scambi transfrontalieri e, quindi, dei dati personali richiesti per effettuare le transazioni.
Quali sono dunque le principali novità? Quali garanzie e diritti sono introdotti per i cittadini? Quali responsabilità e semplificazioni sono previste per imprese e PA? La precedente Direttiva, del 1995, era stata scritta per una realtà in cui solo minima parte della popolazione utilizzava Internet e non esistevano strumenti quali i social media, le app, i servizi di cloud computing, i pagamenti elettronici.
L’intervento del legislatore europeo muoveva dal presupposto che negli Stati membri era sempre più frequente il trattamento di dati personali nei vari settori delle attività economiche e sociali. Inoltre, si constatava che i progressi registrati dalle tecnologie dell’informazione già facilitavano notevolmente il trattamento e lo scambio di tali dati. La necessità di armonizzare le legislazioni nazionali, in tale contesto, aveva una duplice funzione. La prima era tutelare i diritti individuali. Il presupposto era che i sistemi di trattamento dei dati adottati da imprese e PA fossero al servizio dei cittadini e, indipendentemente dalla nazionalità e dalla residenza delle persone fisiche, dovessero rispettare la vita privata, la libertà di pensiero, di coscienza e di religione, la diversità culturale e linguistica. La seconda finalità era ridurre i divari esistenti nella tutela del diritto alla protezione tra Stati membri. La difformità di legislazione poteva infatti impedire la trasmissione dei dati fra Stati membri, traducendosi in un impedimento all’esercizio di attività economiche su scala europea, falsando la concorrenza e ostacolando le PA nell’applicazione del diritto europeo.
Il nuovo Regolamento sulla protezione dei dati personali conferma tali obiettivi e introduce regole più chiare in materia di informativa e di consenso, definisce maggiori limiti al trattamento automatizzato dei dati personali e criteri più rigorosi per il trasferimento di dati personali verso Stati esterni alla UE o ad organizzazioni internazionali che non rispondono agli standard di adeguatezza. L’ambito di applicazione è inoltre esteso al trattamento di dati personali da parte di soggetti non residenti nella UE, con particolare riferimento alle attività di monitoraggio del comportamento degli utenti per finalità di profilazione, cioè per definire “profili” di utenti (sulla base di comportamenti, preferenze, abitudini) allo scopo di fornire in modo automatizzato servizi o promozioni personalizzate.
I cittadini acquisiscono nuovi diritti, tra cui: il diritto all’oblio, cioè la cancellazione dei propri dati personali anche on line, salvo alcune eccezioni; la portabilità dei dati, per trasferirli da un titolare del trattamento a un altro; il diritto di opporsi alla decisione adottata sulla base di un trattamento automatizzato. Il Regolamento prevede poi che imprese private ed enti pubblici abbiano più responsabilità e meno oneri preventivi, quali ad esempio l’obbligo di notificare particolari trattamenti per ottenere autorizzazioni ad attuarli.
Uno dei principi chiave a cui enti pubblici e imprese private dovranno adeguare la propria attività entro il 25 maggio 2018 è quello della «privacy by design and by default»: tutte le attività che abbiano a oggetto dati personali, così come le relative applicazioni informatiche di supporto, devono assicurare un’adeguata tutela dei dati fin dal momento in cui sono progettate, ad esempio attraverso la pseudonimizzazione e l’utilizzo di password. La finalità è di prevenire possibili impatti negativi sulle libertà e i diritti dei cittadini e di permettere una rilevazione e comunicazione tempestiva di ogni violazione dei dati personali (il cosiddetto data breach). Deve essere, inoltre, garantito che, come impostazione predefinita, siano richiesti e accessibili solo i dati personali strettamente necessari, anche con riferimento a una stessa persona, per ogni specifica finalità, così da evitare che tutti i dati raccolti, in particolare quelli sensibili, siano visionabili da chiunque appartenga all’ente.
L’approvazione della nuova normativa ha richiesto quattro anni di discussione nel tentativo di comporre una pluralità di interessi, anche conflittuali tra loro: tutela dei diritti umani ed esigenze delle imprese nel mercato unico; necessità di prevenzione dei rischi insiti nel digitale (frodi, furti di identità, danni di immagine, ecc.) e valorizzazione delle opportunità offerte dall’innovazione. Alla base vi è la percezione, ritenuta largamente diffusa tra i cittadini, che le operazioni on line comportino rischi per la protezione delle persone nel momento in cui registrano e diffondono dati personali, anche sensibili. La nuova disciplina rappresenta, quindi, un test della capacità della UE di dare risposte efficaci a istanze quotidiane dei cittadini, in un contesto socioeconomico caratterizzato dalla diffusione delle nuove tecnologie che abbattono i confini nazionali, mettendo al centro il rispetto dei diritti fondamentali quale istanza meritevole di tutela in sé e per sé e come elemento da considerare cruciale anche a favorire lo sviluppo dell’economia digitale in tutto il mercato interno.