Giorni
Ore

GDPR Italiano

Non si chiamerà più codice della privacy, ma GDPR, che letteralmente sta per “General Data Protection Regulation” e dal maggio 2018 sostituirà in tutti gli Stati Membri dell’Ue, dunque, anche in Italia, il codice del 1995 e il successivo codice in materia di protezione dei dati personali del 2003. Si tratta del nuovo Regolamento Europeo per la Protezione dei Dati Personali, che ha visto un lavoro costante nel corso degli ultimi anni, di Parlamento, Consiglio e Commissione europea. Il 4 maggio 2016 il testo definitivo ha visto la luce ed è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea e sarà effettivamente applicabile in tutti gli Stati Membri, Italia inclusa, dal 25 maggio 2018. Questa è la data che pubbliche amministrazioni e aziende hanno cerchiato in rosso sul calendario e entro la quale dovranno adeguarsi ai nuovi principi contenuti nel GDPR Italiano.

Il Regolamento introduce una serie di novità: se i fondamenti di liceità del trattamento dei dati personali del GDPR Italiano corrispondono in gran parte con quelli già previsti dal codice della privacy attuale, importanti e fondamentali modifiche riguardano il consenso al trattamento dei dati personali, l’accesso ai dati personali, il diritto all’oblio o alla cancellazione, la limitazione del trattamento, la portabilità dei dati. Tra questi un discorso particolare merita il “diritto all’oblio”, cioè il diritto alla cancellazione dei propri dati personali, per la rivoluzione che comporta. L’articolo 17 del regolamento prevede, nello specifico, che “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione”.

Il GDPR Italiano definisce, inoltre, le caratteristiche soggettive e le responsabilità del titolare e del responsabile del trattamento dei dati personali. Il nuovo approccio, infatti, introduce una serie di principi validi per il trattamento dei dati, tra cui quello della “responsabilizzazione” che attribuisce direttamente ai Responsabili del trattamento il compito di assicurare, ed essere in grado di comprovare, tutta una serie di altri principi, come la valutazione di impatto, l’istituzione del registro dei trattamenti, la responsabilità in caso di violazioni dei dati personali.