GDPR: cosa cambia?

di Lara Trucco - Docente di Diritto Costituzionale dell’Università di Genova

Il prossimo 25 maggio comincerà ad essere applicato il GDPR, il regolamento sul trattamento dei dati personali dell’unione europea, (679 del 2016).

Alla base di questa normativa c’è l’idea di creare una consapevolezza nei cittadini sull’importanza dei dati personali: consapevolezza del valore dei nostri dati che altri possono usare per i loro fini commerciali o di altro tipo.

L’approccio alla materia è cambiato prendendo atto che tenere al riparo i dati personali con le nuove tecnologie sia un obiettivo abbastanza utopistico: l’obiettivo primario diventa dunque quello di gestire il dato e rendere conoscibile all’interessato come viene trattato e dove. Si andrà inoltre verso la pseudonomizzazione: per cui, dove possibile e dove non sia inevitabile essere identificati, le aziende e le pubbliche amministrazioni debbano trattare i dati in modo anonimo.

In generale, saremo più tutelati perché saranno riconosciuti e valorizzati diritti come la conoscenza (attraverso l’informativa) e l’accesso ai trattamenti dei propri dati personali, la conferma della loro esistenza, nonché la possibilità di verificarne l’esattezza, di richiedere l’integrazione, l’aggiornamento, il cambiamento, la rettifica, la limitazione, l’opposizione e financo la cancellazione (cd. “diritto all’oblio”). Inoltre, il consenso al trattamento dovrà essere esplicito e inequivoco e potrà essere revocato. Ancora, è riconosciuto il diritto alla “portabilità” dei propri dati personali: questo significa che se c’è un trattamento in corso ne possiamo chiedere l’esportazione per trattamenti analoghi.

Saremo più garantiti anche perché l’Unione Europea impone un principio di “accountability”, ossia chi tratta i nostri dati, non solo ce lo deve dire, ma deve dimostrare di aver messo in atto tutta la serie di misure organizzative e di messa in sicurezza del dato, atte a tutelarci (privacy by default).

Sarà introdotta la figura del Data Protection Officer (DPO): una figura di garanzia e di raccordo col Garante per la tutela dei dati personali; è consolidato l’obbligo di cambiare la password più frequentemente (ogni 3 mesi per dati sensibili e 6 mesi per dati personali); mentre gli strumenti che contengono dati personali dovranno essere progettati già in modo da meglio tutelare i dati personali (privacy by design).

Tra le novità c’è anche l’extraterritorialità della tutela del dato personale: i dati di cittadini italiani trattati all’estero dovranno avere le stesse garanzie del regolamento in applicazione in ambito europeo: è molto importante, ed avrà grande impatto sui social network, che in gran parte hanno le loro sedi in paesi esteri.

L’approccio di questo regolamento poi è una tutela in senso ampio: noi non possiamo essere considerati la somma dei nostri dati personali, c’è un divieto alla profilazione dell’individuo, che non può essere trattato solo sulla base dei dati che cede. Banche, assicurazioni, imprese ma anche enti ed istituzioni pubbliche possono trattare i dati personali solo nei limiti di quanto strettamente necessario alla loro attività. Di qui, tra l’altro, le numerose richieste di rinnovato consenso che ci stanno pervenendo in questi giorni, anche relativamente ai cookies che prevedono profilazioni ai più disparati fini.

Un bel passo avanti!

Tags