Dal prossimo 25 maggio sarà direttamente applicabile il nuovo regolamento europeo sulla privacy Ue 2016/679 – entrato in vigore il 24 maggio 2016 – che porterà grosse modifiche alle norme che finora hanno regolato questa materia in tutti gli stati dell’Unione europea, Italia compresa.
A cambiare saranno le leggi che chiunque maneggi dati personali dovrà rispettare per poter continuare a farlo. Come le società di telefonia, le pubbliche amministrazioni e qualsiasi azienda con cui sottoscriviamo un contratto in cui inseriamo i nostri dati personali, comprese quelle attive solo in Rete come i social network. Ma la norma interessa anche e soprattutto i consumatori, visto che tra circa tre mesi, tutti i soggetti cui abbiamo comunicato il nostro nome, indirizzo o numero di telefono saranno chiamati a migliorare il modo in cui trattano e conservano i nostri dati personali. Il regolamento introduce, infatti, regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, e stabilisce anche criteri (e sanzioni) rigorosi nei casi di violazione dei dati personali.
Dati a scadenza. Una novità a beneficio dei consumatori è il principio di “retentio”. Cosa significa? Quando firmiamo un contratto, i dati che forniamo alle imprese non sono di loro proprietà per sempre. Il regolamento introduce infatti il concetto di scadenza dei dati.
In ogni informativa sulla privacy dovrà essere specificato il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà illegittimo.
Addio al consenso senza specifiche. Con la nuova normativa le aziende dovranno chiedere il consenso non solo all’uso dei nostri dati, ma dovranno specificare anche l’utilizzo che ne faranno, distinguendo, per esempio, se il fine è quello di marketing, di profilazione, di geolocalizzazione, o altro. Ogni tipo di “attività di trattamento” implicherà perciò un consenso specifico che il consumatore sarà chiamato a firmare, mettendo così fine alle informative “cumulative” in cui un’unica firma autorizzava più utilizzi. “In questo modo gli utenti non potranno più trovarsi inscritti a cose che non vogliono o a cui non hanno dato lo specifico consenso. È esclusa inoltre ogni forma di consenso tacito a favore delle sole forme esplicite.
Il diritto di conoscere i propri dati. È capitato quasi a tutti: continuiamo a ricevere email o messaggi da servizi che non ricordiamo di aver richiesto e temiamo di avergli fornito anche dati sensibili come il nostro numero di telefono. Finora una situazione come questa poteva essere quasi irrisolvibile. Oggi invece con il nuovo regolamento che sancisce il diritto di accesso, tutti i consumatori potranno rivolgersi alle società chiedendo che gli vengano forniti i dettagli sui dati che hanno comunicato loro, chiedendo anche di chiarire come vengono trattati e come sono stati ottenuti. Le aziende, dal canto loro, saranno soggette all’obbligo di risposta.
… e di cancellarli o limitarne il trattamento. Oltre a conoscere i dati forniti, i consumatori potranno anche chiederne la cancellazione o limitarne il trattamento. Si tratta di un nuovo diritto offerto ai cittadini e può essere esercitato non solo in caso di violazione dei presupposti di liceità del trattamento, ma anche se il consumatore chiede la rettifica dei dati o si oppone al loro trattamento.
Linguaggio semplice e chiaro. Una delle novità più applaudite del nuovo Regolamento è il fatto che dal 25 maggio le aziende che vogliono detenere e usare i nostri dati dovranno chiedercelo con un linguaggio chiaro e comprensibile, senza vocaboli tecnici o giuridici. Il senso è quello di consentire a tutti di capire l’informativa. Per questo motivo saranno bandite anche le clausole tecniche e quelle scritte in caratteri troppo piccoli.
Più ampio diritto all’oblio. La legge estende anche il campo del cosiddetto diritto all’oblio: la norma che sancisce la possibilità di essere cancellati dalle notizie e anche dai motori di ricerca qualora il motivo che ha reso legittima la pubblicazione di quel dato non sia più di pubblica utilità (come, per esempio, nel caso di una persona che è stata assolta da un’accusa di cui i giornali e le testate online avevano dato notizia). Con il nuovo regolamento questo diritto amplia il proprio significato e si estende anche ai casi in cui un consumatore chiede la cancellazione dei suoi dati personali e quindi la revoca del trattamento concesso per avere un determinato servizio.
Principio di accountability. Con il nuovo Regolamento viene finalmente definito un principio già riconosciuto dal Garante: quello che prevede che sia responsabilità del possessore dei dati sensibili conservarli in maniera corretta. Il principio di accountability sancisce perciò che sarà onere dell’azienda o dell’ente che ha i nostri dati dimostrare un “atteggiamento proattivo nella salvaguardia del dato personale dell’utente”. Si tratta di una norma che riguarda soprattutto i casi di violazioni e che chiama quindi in causa la responsabilità di chi li detiene, e non di chi li ha forniti.
Sanzioni. Una delle più grandi novità del regolamento è quella che riguarda i casi di violazioni dei dati, per esempio in caso di attacchi informatici o furti. La norma introduce infatti il diritto per tutti i cittadini, siano essi aziende o persone fisiche, di conoscere la violazione dei dati che le aziende saranno obbligate a comunicare al Garante. Per i trasgressori le sanzioni, applicabili dal 25 maggio 2018, arriveranno fino a 20 milioni di euro o al 4% del fatturato.
Più tutele per i minori. Maggiori tutele anche per i minori. In particolare, per i minori di 16 anni sarà necessaria anche l’autorizzazione del genitore o di chi ne abbia la potestà. Una regola, quest’ultima, che varrà anche per i servizi su Internet e per i social media.
