Il Nuovo Regolamento europeo sulla Privacy – in pillole

Il termine “privacy” rientra ormai nell’uso comune e può essere identificato, nell’ordinamento italiano, come diritto alla riservatezza dell’individuo rispetto a qualsiasi tipo di intromissione o divulgazione da parte di terzi, in assenza di autorizzazione. La nuova normativa è costituita dal Regolamento (UE) n. 2016/679 e dalla Direttiva (UE) n. 2016/680 e si inserisce nel cosiddetto “Pacchetto europeo di protezione dati” avente l’obiettivo, da un lato, di adeguare la protezione dei dati personali all’evoluzione tecnologica e, dall’altro, di garantire un’uniforme circolazione dei dati all’interno dell’Unione Europea.

La piena applicazione del nuovo Regolamento è prevista per il prossimo 25 maggio ed occorre fare chiarezza sulle caratteristiche principali di tale evoluzione normativa.

L’evoluzione del diritto alla privacy

Il riconoscimento giuridico dell’esistenza di un diritto alla privacy è frutto di una lenta evoluzione storica e giurisprudenziale, la quale ha avuto inizio alla fine del XIX secolo negli Stati Uniti d’America. La prima trattazione in materia fu pubblicata nel 1890 sulla rivista Harward Law Review ed era stata realizzata da due giuristi di Boston, Samuel D. Warren e Louis D. Brandeis, i quali vedevano il diritto alla privacy come la naturale evoluzione del diritto di proprietà e come ampliamento ed evoluzione dello stesso. Nell’articolo viene menzionato il cosiddetto diritto ad essere lasciati in pace (“to be let alone“), frutto di elaborazione giurisprudenziale e risposta all’evoluzione del concetto sociale di tutela della proprietà, vista non solo come elemento tangibile e materiale, ma anche come diritto alla tutela della sfera privata dal punto di vista emotivo ed intimo dell’essere umano. L’importanza innovativa del saggio consiste nella scelta di mettere al centro la serenità emotiva dell’uomo, non in virtù del valore che essa ha in ambito pubblico o nei traffici economico-giuridici, ma per il valore intrinseco che il diritto alla privacy possiede per il suo titolare.

La privacy nasce dunque negli Stati Uniti come diritto morale e si evolve nelle pronunce della Suprema Corte statunitense, divenendo diritto giuridico solo in epoca moderna, quando si è verificata la sua traduzione da principio a diritto esigibile disciplinato a livello legislativo.

In Italia, a causa del forte ritardo nello sviluppo economico, il dibattito sulla privacy ha avuto inizio solo a metà del Novecento, in concomitanza con la riforma del codice civile, come generico diritto alla libera determinazione dell’individuo nello svolgimento della propria personalità. In Europa, i primi riferimenti alla privacy risalgono all’art. 12 della Dichiarazione Universale dei diritti dell’uomo, secondo cui è diritto di ciascuno essere legalmente tutelato contro interferenze o lesioni arbitrarie della propria vita privata. L’art. 8 della CEDU ha poi sancito il diritto al rispetto della vita privata e familiare; a riguardo, la Corte europea dei diritti dell’uomo è intervenuta fornendo un’interpretazione estensiva del diritto alla riservatezza, fino a ricomprendere il diritto di ciascuno a sviluppare rapporti sociali al riparo da qualsiasi forma di discriminazione, in modo da garantire il pieno godimento della vita privata. Nella nostra Carta Costituzionale il diritto alla riservatezza non è disciplinato direttamente, ma è possibile ricavare dal testo costituzionale una tutela di tipo indiretto agli articoli 14, 15 e 21 concernenti, rispettivamente, il domicilio, la libertà e la segretezza della corrispondenza e la libertà di manifestare liberamente il proprio pensiero. Un ruolo importante è stato svolto anche dalla sentenza della Corte Costituzionale n. 38 del 1973, che ha ricondotto la privacy tra i diritti inviolabili di cui all’art. 2 della Costituzione, richiamando nella motivazione l’art. 12 della Dichiarazione Universale dei diritti dell’uomo e l’art. 8 della CEDU.

Il diritto alla privacy oggi

Tornando ai nostri giorni, il diritto alla privacy si trova in una fase di ampio mutamento a livello europeo, in quanto il cosiddetto “nuovo pacchetto protezione dati”, costituito dal Regolamento (UE) 2016/679 e dalla Direttiva (UE) 2016/680, ha lo scopo di adeguare la protezione dei dati all’evoluzione e all’aumento dei flussi transfrontalieri, ponendo in equilibrio la necessità di agevolare la libera circolazione dei dati all’interno dell’Unione europea con l’esigenza consequenziale di assicurare un più alto livello di protezione.

Il nuovo Regolamento, in particolare, che avrà piena applicazione dal prossimo 25 maggio in tutti gli Stati Membri, amplia il novero di soggetti ai quali la normativa verrà applicata, ribaltando la concezione tradizionale del principio di stabilimento, non subordinando più l’applicazione della normativa sulla privacy al luogo in cui avviene il trattamento. Con il nuovo Regolamento europeo verrà, infatti, applicata la legge del soggetto i cui dati vengono raccolti, estendendo l’applicazione della normativa anche ai casi in cui i Titolari del trattamento siano soggetti non europei o i dati vengano trattati al di fuori dell’Unione. Viene, inoltre, posta una maggiore enfasi sugli obblighi di trasparenza ex articoli 5 e 12, rispetto alle modalità di trattamento dei dati, sancendo la necessità di un linguaggio chiaro e comprensibile da tutti.

Il Nuovo Regolamento comporterà una serie di adeguamenti, sia a livello nazionale che europeo, piuttosto stringenti per gli operatori che trattano dati personali.

Quali sono le caratteristiche principali del Nuovo Regolamento Privacy?

Il Regolamento (UE) n. 2016/679 ha un duplice ambito di applicazione:

1. Ambito materiale: si applica al trattamento interamente o parzialmente automatizzato di dati personali, nonché al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2. Ambito territoriale: concerne il trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento, ossia nel quadro di un’organizzazione stabile, di un Titolare o di un Responsabile del trattamento, indipendentemente dal fatto che il trattamento avvenga all’interno dell’Unione europea.

Il Regolamento attribuisce nuovi compiti alle figure del Titolare e del Responsabile del trattamento, rispetto alla normativa attuale.

Il Titolare del trattamento ha il compito di mettere in atto misure tecniche e organizzative volte a garantire e dimostrare che il trattamento avvenga in misura conforme al Regolamento. Egli ha, inoltre, l’obbligo di effettuare una valutazione d’impatto del trattamento, con annessi obblighi di revisione, qualora quest’ultimo possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Il Responsabile del trattamento ha il compito di trattare i dati personali per conto del Titolare, previa autorizzazione scritta. Sia il Titolare che il Responsabile hanno obblighi di comunicazione inerenti l’avvenuta violazione dei dati personali e debbono tenere un registro delle attività di trattamento in forma scritta, ma solo per quelle organizzazioni che abbiano un numero uguale o superiore a 250 dipendenti.

Il Regolamento introduce, inoltre, due nuovi principi:

1. Privacy by design: prevede che il Titolare attui misure di tipo tecnico-organizzativo a tutela dei principi di protezione dei dati, dalla progettazione fino all’esecuzione del trattamento.

2. Privacy by default: richiede, nella fase operativa del trattamento, misure volte a garantire l’utilizzo dei soli dati personali necessari per ogni specifica finalità di trattamento.

Una delle novità di maggior rilievo, introdotta dal Regolamento, è la figura professionale del Data Protection Officer (DPO), ossia il “Responsabile della protezione dei dati”. Il DPO deve obbligatoriamente essere presente all’interno delle aziende pubbliche ed in quelle ove il trattamento dei dati presenti rischi specifici, quali le aziende in cui si trattano dati sensibili o nelle quali sia richiesto un monitoraggio su larga scala regolare e sistematico degli interessati. Il DPO ha il compito di garantire il rispetto della disciplina e può incorrere in sanzioni, fino all’ammontare di € 20 milioni o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’ultimo esercizio. Tale figura può essere sia un dipendente della società titolare del trattamento, sia un soggetto esterno che svolge le proprie funzioni sulla base di un contratto di servizio. Tra le competenze del DPO, in particolare, si richiamano:

1.  gli obblighi di informazione nei confronti del titolare, del responsabile del trattamento e dei dipendenti;

2.  gli obblighi di verifica e di vigilanza;

3.  le attività di punto di contatto tra Titolare e Garante per la protezione dei dati personali.

Infine, l’introduzione del Regolamento comporterà l’accrescimento degli obblighi di trasparenza, prevedendo che all’interessato, specie se minore, le informazioni siano rese in un linguaggio semplice e comprensibile e in forma scritta, salvo richiesta contraria da parte dello stesso interessato qualora sussista la possibilità di provare la sua identità in altro modo.

Merita un cenno anche il nuovo diritto alla portabilità dei dati che, diversamente dal diritto di accesso, consente agli interessati del trattamento di ricevere gratuitamente dal Titolare i loro dati personali in maniera strutturata e leggibile da un elaboratore, al fine di semplificare l’eventuale trasferimento online dei dati ad altro Titolare.

Numerose sono le novità introdotte dal nuovo pacchetto protezione dati, in generale, e dal Regolamento, in particolare, le quali auspicabilmente costituiranno un ulteriore passo verso un’uniformità di applicazione effettiva della normativa a livello europeo.