Le novità sono contenute nel Regolamento (2016/679), che sistema e riordina i precedenti provvedimenti sulla privacy. Detto provvedimento normativo introdurrà più trasparenza sull’uso dei dati, nuovi diritti per le persone, maggiori responsabilità per imprese ed enti, sanzioni severe per chi non rispetta le regole anche fuori dai confini europei.
“La protezione dei dati è un diritto di libertà”, sostiene il Garante privacy, che ha pubblicato online una pagina dedicata alle nuove norme (http://www.garanteprivacy.it/regolamentoue). L’ambito di applicazione del Regolamento è più ampio di quello europeo, perché questo si applica anche a chi tratta dati fuori dalla Ue di cittadini europei. “Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione” (art. 3) e dunque anche ai colossi del web come Facebook e Google.
Una serie di principi stabilisce che i dati personali sono trattati “in modo lecito, corretto e trasparente” nei confronti dell’interessato, esatti e aggiornati, trattati in modo che ne sia garantita la sicurezza. Esso stabilisce che il consenso deve essere chiaro ed esplicito. “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”. Se il consenso è presentato in una dichiarazione scritta che riguarda anche altre questioni, deve essere distinguibile dalle altre parti e scritto in modo semplice e chiaro. “L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato” (art 7).
Per i servizi della società dell’informazione, “il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale” (art. 8). Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.
Il nuovo Regolamento si sofferma inoltre sul trattamento di particolari categorie di dati personali. “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” (art. 9). Questo non si applica in alcuni casi, ad esempio se il trattamento dati è necessario per esercitare un diritto, se riguarda dati personali resi “manifestamente pubblici” dall’interessato, se è necessario per motivi di interesse pubblico, ad esempio nella sanità pubblica, e a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
Maria Grazia Palmarini