Abbiamo già illustrato sinteticamente la nuova fisionomia assunta dal sistema di responsabilità in materia di data protection. In questo articolo, facciamo uteriore chiarezza sui contenuti principali del nuovo Regolamento europeo (ricordiamo, ancora in fase di definizione), il quale estenderà la sua disciplina ai soggetti stabiliti nell’UE, anche nell’ipotesi in cui il trattamento, pur riferendosi a residenti nell’Unione Europea e riguardando l’offerta di beni e servizi agli stessi e/o il loro controllo, sia effettuato da organizzazioni extra UE.
Le norme europee arricchiscono e rimodellano anche l’insieme delle definizioni terminologiche (ad esempio, l’identificativo unico, il dato genetico, il dato biometrico, lo pseudonimo, la profilazione).
Riflettori puntati, inoltre, sulle condizioni che reggono il principio di liceità del trattamento, intercalando sempre e comunque un’attenta valutazione sull’equilibrio fra legittimi interessi del responsabile del trattamento e diritti e libertà fondamentali dell’interessato.
Il Regolamento europeo si preoccupa poi di valorizzare il concetto di consenso, che oltre ad essere valido e consapevole, deve risultare specifico, informato, esplicito e libero (cioè non vincolato da impostazioni predefinite nell’ambito dell’informativa fornita all’interessato); le nuove norme dimostrano peraltro, sempre in tema di consenso, una particolare sensibilità per le situazioni ove è evidente lo squilibrio fra responsabile o incaricato del trattamento e interessato (rapporti di lavoro, posizioni dominanti sul mercato, esercizio di pubblici poteri), nonché per il trattamento dei dati riferiti a minori o per “particolari categorie di dati” (sensibili e giudiziari).
Obiettivo del Regolamento è anche quello di facilitare al massimo l’esercizio dei diritti dell’interessato, compatibilmente con i conseguenti oneri in capo al responsabile e finalizzati a soddisfare le richieste degli stessi interessati. Oltre ad arricchire il contenuto dell’informativa (ex art. 13 del vigente Codice Privacy), viene attribuito più spessore agli stessi diritti dell’interessato: in particolare, viene disciplinato il diritto alla cancellazione e all’oblìo, sotto determinate condizioni, prevedendo, in alternativa, anche l’ipotesi di risarcimento del danno; vengono tuttavia fatti salvi i casi in cui non è permesso soddisfare tale richiesta nonché le situazioni in cui è possibile semplicemente limitare il trattamento in luogo della cancellazione.
Un’altra novità è il diritto alla portabilità del dato che, oltre a consentire all’interessato di ottenere copia dei propri dati personali in un formato di uso comune, gli permette altresì di poter trasferire questi dati da un’applicazione ad un’altra (es. transito fra social network diversi).
La nuova normativa europea, accanto a prescrizioni intese a facilitare l’esercizio del diritto di opposizione, disciplina anche il tema della profilazione, cioè quei trattamenti, anche automatizzati, miranti a monitorare comportamenti e quindi finalizzati a valutare aspetti, anche sensibili, della personalità: nel prevedere un generale diritto per l’interessato a non essere sottoposto a tali invasivi trattamenti, il Regolamento fa salvi casi particolari, richiedendo tuttavia garanzie adeguate.
Ciò che viene comunque fatto risaltare – in tema di diritti dell’interessato e principi applicabili al trattamento – è il fatto che, se da un lato determinate e legittime ragioni possono limitare la consistenza di tali diritti e principi, dall’altro lato è necessario conformarsi sempre e comunque alla Carta dei diritti fondamentali dell’Unione europea e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.
Michele Viel – Centro Studi CGN