Consenso al Trattamento dei Dati Personali Nuovo GDPR 2018

Non più Codice della privacy, o per il trattamento dei dati personali. Dal 2016, in Europa, si parla GDPR, che letteralmente sta per “General Data Protection Regulation” e che dal maggio 2018 sostituirà in Italia il codice del 1995 e il successivo codice in materia di protezione dei dati personali del 2003. Si tratta del nuovo Regolamento Europeo per la Protezione dei Dati Personali, fortemente voluto da Parlamento, Consiglio e Commissione europea a partire dall’inizio del 2012. Il dibattito e le negoziazioni sono durati anni, fino al 4 maggio 2016, quando il testo definitivo ha visto la luce ed è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea. Il Regolamento è entrato in vigore 20 giorni dopo la pubblicazione in Gazzetta e sarà effettivamente applicabile in tutti gli Stati Membri, Italia inclusa, dal 25 maggio 2018. Questa è la data che pubbliche amministrazioni e aziende hanno cerchiato in rosso sul calendario.
Il Regolamento introduce una serie di novità: se i fondamenti di liceità del trattamento dei dati personali, dunque la base giuridica, corrispondono con quelli già previsti dal codice della privacy attuale, d’altra parte vi sono importanti modifiche riguardano il consenso al trattamento dei dati personali, l’accesso ai dati personali, il diritto all’oblio o alla cancellazione, la limitazione del trattamento, l’opposizione e la portabilità dei dati.

E ancora il Regolamento definisce le caratteristiche soggettive e le responsabilità del titolare del trattamento e del responsabile del trattamento dei dati stessi. Il nuovo approccio si basa, fondamentalmente sul rischio del trattamento dei dati personali, e per questo introduce una serie di principi validi per il trattamento dei dati, incluso quello della “responsabilizzazione” che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, tutti gli altri principi, come la valutazione di impatto, l’istituzione del registro dei trattamenti, la notifica in caso di violazioni dei dati personali.

Particolare importanza, poi, ha la definizione di “diritto all’oblio”, cioè il diritto alla cancellazione dei propri dati personali, ma in maniera ancora più incisiva. L’articolo 17 del regolamento prevede, nello specifico, che “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione”.

Tra le altre novità e tra i nuovi diritti introdotti dal regolamento, c’è, poi, quello legato consenso al trattamento dei dati personali e alla “portabilità dei dati“, sancito dall’articolo 20, con alcune specifiche condizioni: sono “portabili” i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con il titolare del trattamento, e solo i dati che siano stati forniti direttamente dall’interessato al titolare del trattamento. L’interessato “ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile“.