E’ entrato in vigore dal 24 maggio 2016 il nuovo regolamento europeo in materia di protezione dei dati personali che costituisce un salto di qualità nei rapporti del cittadino e nello sviluppo di servizi digitali, nel sistema delle responsabilità e nell’implementazione di misure di sicurezza a protezione dei dati personali. Vediamo quali sono gli impatti per cittadini e pa.
Con il regolamento Europeo in materia di protezione dei dati personali (regolamento 2016/679), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016 inizia una nuova stagione per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Il regolamento costituisce un prezioso tentativo di armonizzazione delle regole privacy dei vari Stati ed è finalizzato a sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.
Il regolamento costituisce con la direttiva Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati il c.d. “pacchetto protezione dati personali”.
LEGGI LO STATO DELL’ARTE SU GDPR
Il testo del regolamento abroga la direttiva la Direttiva 95/46/Ce in materia di protezione dei dati personali /privacy, concepita in un periodo nel quale solo una minima parte della popolazione europea (nella percentuale del 1%) utilizzava internet e non esistevano social media, tablet, app e gli scenari e gli effetti della moderna e l’ attuale società della sorveglianza elettronica nella quale sono gli stessi cittadini che pubblicano, più o meno inconsapevolmente i propri dati personali sulle piattaforme on line e social media.
Il regolamento è entrato in vigore il 24 maggio 2016 ma troverà applicazione negli Stati solo alla data del 25 maggio 2018[1]: le imprese e le pubbliche amministrazioni hanno pertanto due anni (un periodo di tempo congruo ma non troppo ampio) per organizzarsi e adeguarsi alle nuove regole.
Quali sono le principali novità per i cittadini? E quali sono gli impatti per la pubblica amministrazione?
I cittadini, con le nuove disposizioni, sono al centro del sistema; sono riconosciuti ai cittadini: il diritto alla portabilità dei dati, il diritto all’oblio (riconosciuto fino ad ora solo a livello giurisprudenziale), il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati sui suoi dati e di controllare, il diritto di essere informato sulle violazioni dei propri dati personali (“data breach”, notificazione di una violazione di dati). Il testo in esame riconosce, pertanto, un livello elevato e uniforme di tutela dei dati ed è finalizzato a dare un maggiore controllo ai cittadini sull’utilizzo dei loro dati.
Il regolamento comporta un cambiamento anche culturale: difendere i dati, significa difendere le persone, l’ identità e la libertà delle stesse.
I cittadini hanno il diritto di essere avvertiti dalle pubbliche amministrazioni e dalle imprese delle violazioni dei loro dati personali (data breach notification) entro le 72 ore, obbligo previsto attualmente solo in alcuni settori (fascicolo e dossier sanitario, interscambio di dati fra le pubbliche amministrazioni, Tlc e settore bancario)[2].
I cittadini hanno il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per loro conto e di esercitare per loro conto i diritti sui propri dati (v. artt. 77, 78 e 79) nonché, il diritto di ottenere il risarcimento dei danni causato dalla violazione del regolamento.
Il testo impone alle imprese e alle pubbliche amministrazioni una forte responsabilizzazione, un cambio di passo, un approccio proattivo, la protezione dei dati personali diventa, finalmente, un asset strategico delle pubbliche amministrazioni che deve essere valutato prima, già nel momento di progettazione di nuove procedure, prodotti o servizi, (principi data protection by design” e “data protection by default) senza derive burocratiche che hanno negli anni passato relegato la protezione dei dati personali ad un mero adempimento formale di mettere una firma per presa visione dell’informativa o per il consenso al trattamento di dati sanitari: con il regolamento si torna alla concretezza.