A livello comunitario è stato definito “General Data Protection Regulation”, ma più comunemente si può chiamare nuovo Regolamento Europeo per la Protezione dei Dati Personali, ed è entrato in vigore il 24 maggio 2016 ma diventerà direttamente applicabile a tutti gli Stati Membri a partire dal 25 maggio 2018. Un testo aggiornato, un codice della privacy in materia di diffusione dei dati personali voluto fortemente dall’Unione Europea e che ha visto un lavoro lungo e congiunto di Parlamento, Consiglio e Commissione europea. Il Regolamento porta una serie di novità e innovazioni molto importanti non solo per i singoli cittadini, ma anche per le amministrazioni pubbliche, le aziende, le associazioni e i liberi professionisti. Si tratta, dunque, di un Codice in Materia di Trattamento dei Dati Personali Italia. Questo nuovo Codice della privacy introduce regole più chiare in materia di informativa e consenso al trattamento dei dati personali, definisce i limiti al trattamento automatizzato dei dati stessi, inserisce una serie di nuovi e importanti diritti, e stabilisce regole più stringenti per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali, il cosiddetto “data breach”.
Tra i nuovi diritti introdotti dal Codice in Materia di Trattamento dei Dati Personali, molto importante è il “diritto all’oblio”, che consiste nella cancellazione dei propri dati personali, anche e soprattutto online, da parte del titolare del trattamento, se ricorrano una serie di condizioni, stabilite dall’articolo 17 del regolamento: “i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione”.
Collegato al diritto all’oblio c’è l’obbligo per il titolare del trattamento di comunicare la richiesta di cancellazione a tutti quelli che li stanno trattando. Ci sono alcuni casi in cui il diritto all’oblio può essere limitato, come la garanzia dell’esercizio della libertà di espressione o il diritto alla difesa in una sede giudiziaria, per la tutela di un interesse generale, come la salute pubblica, o quando i dati sono necessari “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici”.
Per quanto riguarda le aziende, poi, l’articolo 5 del nuovo Codice in Materia di Trattamento dei Dati Personali, prevede una serie di principi validi per il trattamento dei dati, incluso quello della “responsabilizzazione” che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, tutti gli altri principi. Le amministrazioni, così come suggerito dal Garante per la protezione dei dati personali, si dovranno dotare di un Responsabile della protezione dei dati (Data Protection Officer o DPO), di un Registro delle attività di trattamento e prepararsi alla notifica delle violazioni dei dati personali.