Giorni
Ore

GDPR Regulation EU 2016/679

Si chiama “General Data Protection Regulation”, abbreviato in GDPR Regulation EU 2016/679: è il regolamento che dal maggio 2018 sostituirà in Italia il codice del 1995 e il successivo codice in materia di protezione dei dati personali del 2003. Un nuovo Regolamento Europeo per la Protezione dei Dati Personali fortemente voluto da Parlamento, Consiglio e Commissione europea a partire dall’inizio del 2012. Il dibattito e le negoziazioni sono state lunghe e sono andate avanti fino al 4 maggio 2016, quando il testo del GDPR Regulation EU 2016/679 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea. Il GDPR Regulation EU 2016/679 sarà effettivamente applicabile in tutti gli Stati Membri, Italia inclusa, dal 25 maggio 2018 e aziende e pubbliche amministrazioni sono già chiamate ad adeguarsi.

Il testo parte dalla liceità del trattamento dei dati personali, con una serie di principi che non si discostano di molto da quelli contenuti nell’attuale Codice della privacy, ma introduce numerosi nuovi e importanti concetti, tra i quali il molto discusso “diritto all’oblio”, che cambia totalmente la concezione di cancellazione dei dati personali da interne. Il “diritto all’oblio” è regolamentato dall’articolo 17 del GDPR Regulation EU 2016/679, che prescrive: “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”. In generale, come recita il motivo 65 del Regolamento GDPR: “Un interessato dovrebbe avere il diritto di ottenere la rettifica dei dati personali che la riguardano e il «diritto all’oblio» se la conservazione di tali dati violi il presente regolamento o il diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento”.

Come prosegue il motivo 66 del GDPR 2018: ”Per rafforzare il diritto all’oblio nell’ambiente online, è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento […] a informare i titolari del trattamento che trattano tali dati personali di cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali”. Inoltre, gli Stati membri ”dovrebbero essere autorizzati a fornire, a specifiche condizioni e fatte salve adeguate garanzie per gli interessati, specifiche e deroghe relative ai requisiti in materia di informazione e ai diritti alla rettifica, alla cancellazione, all’oblio, alla limitazione del trattamento, alla portabilità dei dati personali, nonché al diritto di opporsi in caso di trattamento di dati personali per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica o storica o per finalità statistiche”.

Un’altra novità introdotta nel GDPR Regulation EU 2016/679, è quella legata alla “portabilità dei dati“, chiarita dall’articolo 20 del testo, attraverso la spiegazione di alcune specifiche condizioni: sono definiti, infatti, “portabili” i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con il Titolare del Trattamento e inoltre solo i dati che sono stati forniti direttamente dall’Interessato al Titolare. L’Interessato, inoltre, “ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile“.