Dopo un periodo transitorio di due anni, il 25 maggio 2018 entrerà in vigore in tutti i Paesi dell’Unione Europea l’RGPD, il regolamento generale sulla protezione dei dati con l’intendo di rendere unitaria la protezione dei dati personali per i cittadini dell’Unione. Molti esperti ritengono che la nuova norma UE sarà presa a modello da molti altri Stati. Quali sono le novità introdotte dall’RGPD e cosa significa per le aziende?
Cos’è l’RGPD?
Il Regolamento generale sulla protezione dei dati (RGPD) è il regolamento con la quale l’Unione Europea intende rendere omogeneo il trattamento dei dati personali. Sono coinvolte anche le imprese straniere che trattano dati provenienti dai cittadini dell’UE. L’RGPD andrà a sostituire la direttiva sulla protezione dei dati (direttiva 95/467EC). In Italia, inoltre, pensionerà le norme del Codice per la protezione dei dati personali (dlsg.n 196/2003) in vigore dal 1° gennaio 2014, noto come codice della privacy, incompatibile con il nuovo regolamento. A differenza del suo predecessore del 1995 che serviva come direttiva di massima, la normativa si presenta questa come un regolamento. Di conseguenza, deve essere applicato negli Stati membri senza necessità di provvedimenti di attuazione.
Quali sono le novità?
La novità principale è soprattutto l’estensione del diritto dei cittadini di sapere che cosa ne è dei propri dati. Gli utenti possono ora chiedere di ottenere i dati memorizzati dalle aziende, richiederne la cancellazione o il passaggio a un altro operatore. Adesso, per ottenere informazioni sui propri dati, nella maggior parte dei casi, sarà sufficiente scrivere una semplice e-mail. Una società può comunque richiedere dati della persona interessata, come ad esempio l’indirizzo, al fine di confermare l’identità del mittente. L’utente può inoltre richiedere la correzione o la cancellazione dei dati, dopo la scadenza di un servizio. In generale, vale la regola secondo quale le aziende una volta concluso il contratto di servizio sono costrette a rimuovere i dati personali.
Nuove condizioni d’uso
Entro il 25 maggio le aziende devono chiedere ai propri utenti di accettare le nuove condizioni d’uso. Il regolamento impone alle aziende di comunicare le modifiche in modo facilmente comprensibile. Gli utenti devono essere in grado di decidere liberamente dopo aver ricevuto le necessarie informazioni. Il Garante per la protezione dei dati personali ha creato un’utile guida all’applicazione del regolamento europeo.
Come trattare i dati di minori?
Come in altri ambiti, anche qui il regolamento resta molto generale. In futuro, i servizi Internet possono elaborare dati personali di utenti dai 16 in su. Sotto i 16 anni, è necessario il consenso dei genitori. Le nuove norme tuttavia non prescrivono in che modo l’azienda possa determinare l’età dell’utente o come il servizio posso identificare i genitori. Facebook, ad esempio, propone di collegare i profili di bambini sotto i 16 anni a quelli dei genitori o fornire il loro indirizzo e-mail.
Gli utenti decidono a chi fornire dati
L’RGPD prevede il diritto alla trasferibilità dei dati. Gli utenti devono poter trasferire facilmente da un servizio all’altro i dati memorizzati, acquisendo così un maggior controllo su di essi. E ciò non solo per quanto i dati del profilo quali nome o l’età, ma ogni tipo di dato legato alla persona sulle attività svolte su Internet. Le aziende più grandi come Google o Facebook hanno già messo a disposizione degli strumenti completi per consentire agli utenti di scaricare i propri dati. Il RGPD resta però poco chiaro non fornendo regole precise su come muoversi.
Anche le foto sono dati sensibili?
Se anche le foto sono da considerarsi dati sensibili protetti dal RGPD non è chiaro. In generale, le immagini in cui compaiono le persone vengono considerate dati personali. Ciononostante il RGPD non si applica al settore privato, ma soltanto a quello aziendale. Per questo motivo, un semplice utente non è giuridicamente vincolato a chiedere il consenso.
Le sanzioni raddoppiate
Per sottolineare l’importanza che l’UE attribuisce ai dati di carattere personali, sono previste sanzioni molto più salate rispetto al passato. L’art. 83 par. 4 prevede una sanzione amministrativa pecuniaria fino a un massimo di 10 milioni di euro o 2% del fatturato mondiale totale dell’esercizio di un’azienda. In caso di gravi violazioni le autorità possono applicare multe fino a 20 milioni di euro e per le imprese fino al 4% del fatturato mondiale totale riferito all’anno d’esercizio precedente. A differenza di quanto riportato da diverse testate online, l’Authority non si è pronunciata su un congelamento di 6 mesi delle sanzioni. Il malinteso sembra essere il provvedimento del 22 febbraio 2018
Come funziona il passaggio?
Nonostante l’RGPD sia in vigore dalla fine di maggio 2016 sono stati dati due anni come fase transitoria per permettere alle aziende di prepararsi in modo congruo. Se la maggior parte delle grandi aziende è già pronta ad affrontare il cambiamento, molte PMI, lavoratori autonomi e associazioni sembrano non essere ancora a conoscenza del RGPD e non hanno ancora intrapreso alcun tipo di azione.
Cosa succederà dopo il 25 maggio 2018?
L’RGPD resta poco chiaro in molti suoi punti. È molto probabile che i tribunali si troveranno a dover apportare alcuni adeguamenti o chiarire alcuni punti. Le istanze spettano alla Corte di giustizia dell’UE (CGUE) in Lussemburgo. La Direttiva 2002/58/EC, nota come Direttiva e-Privacy dovrebbe servire per precisare alcuni punti. Originariamente sarebbe dovuta andare in pensione con l’entrata del regolamento sulla protezione dei dati, ma non si è riusciti a conciliare i numerosi interessi in un’unica direttiva.
Leggi anche
Tre requisiti per un sito a norma di legge
Quali sono i requisiti di una S.r.l.s. e come presentarla online
Cosa frena la trasformazione digitale delle aziende?
