Proteggiamo i nostri dati personali


Per dato personale si intende qualsiasi informazione relativa ad una persona fisica identificata o, in qualche modo, identificabile.

Tipologie di dati
Possiamo distinguere 3 tipologie di dati personali:
1) i dati comuni, come il nome, il sesso, la data e il luogo di nascita, l’indirizzo e il codice fiscale;
2) i dati sensibili, idonei a rivelare l’origine razziale ed etnica, l’orientamento sessuale, le opinioni politiche o l’adesione a partiti e sindacati, le convinzioni religiose o filosofiche, lo stato di salute, ecc.;
3) i dati giudiziari, come l’iscrizione di reati al casellario giudiziale, la qualità di indagato o imputato in un processo penale, la sottoposizione a misure restrittive della libertà personale, ecc.
La complessa e delicata materia che attiene alla protezione e alla diffusione dei predetti dati è disciplinata dal Regolamento Europeo n. 2016/679 entrato in vigore il 25.05.2018.
Il Regolamento introduce regole più chiare in materia di informativa e consenso, fissa limiti al trattamento automatizzato dei dati personali, stabilisce criteri rigorosi per il loro trasferimento al di fuori dell’UE e per i casi di violazione.
Esaminiamo questi elementi nel dettaglio.

Informativa
L’informativa diventa sempre più uno strumento di trasparenza riguardo al trattamento dei dati personali ed all’esercizio dei diritti.
Gli interessati sono tenuti a sapere se i loro dati sono trasmessi fuori dall’Unione Europea e con quali garanzie; inoltre, hanno sempre il diritto di revocare il consenso a determinati trattamenti, come ad esempio quelli di marketing diretto.

Consenso
Il consenso dell’interessato al trattamento dei propri dati personali deve essere preventivo ed inequivocabile, anche quando è espresso attraverso mezzi elettronici (ad esempio, sul web viene selezionata l’apposita casella). Inoltre, in caso di dati sensibili, il consenso deve essere esplicito.
In pratica il Regolamento esclude ogni forma di tacito consenso, oppure ottenuto proponendo ad un interessato una serie di opzioni già selezionate.
Il consenso può essere revocato in qualsiasi momento ma i trattamenti nel frattempo effettuati restano comunque validi.
 

Minorenni
In caso di trattamento dei dati personali appartenenti a un minore di età inferiore a 16 anni, i fornitori di servizi Internet ed i social media dovranno chiedere il consenso ai genitori o chi esercita la potestà genitoriale.

Limiti al trattamento automatizzato dei dati personali
Il titolare del trattamento dei dati, generalmente un’impresa ma potrebbe essere anche un ente o un’amministrazione, non può adottare decisioni produttive di effetti giuridici come l’erogazione di un servizio o la concessione di un prestito, basandoli esclusivamente sul trattamento automatizzato dei dati (es.: la profilazione ad un sito).
Fanno eccezione i casi in cui l’interessato abbia rilasciato un consenso esplicito al trattamento automatizzato dei dati oppure tale tipo di trattamento avvenga in base a specifici obblighi di legge o contrattuali.
In ogni caso, è sempre previsto il diritto di opposizione da parte dell’interessato.

Diritto all’oblio
Il Regolamento in questione ha introdotto il cd. “Diritto all’oblìo”, attraverso cui gli interessati possono ottenere la cancellazione dei propri dati personali da parte del titolare del trattamento.
L’esercizio di tale diritto diventa particolarmente complicato in Internet con l’utilizzo dei motori di ricerca che, pur essendo a tutti gli effetti responsabili del trattamento dei dati personali, si limitano semplicemente a raccogliere e conservare i medesimi, mettendoli a disposizione dei propri utenti sotto forma di elenchi dei risultati delle loro ricerche.
Tali operatori, in pratica, non esercitano alcun controllo sui dati personali pubblicati sulle pagine web di terzi, effettuando un diverso tipo di trattamento.

Diritto alla portabilità
Altro diritto introdotto dal Regolamento è quello alla “portabilità”, cioè quello di trasferire i dati da un titolare del trattamento ad un altro, in un mercato digitale sempre più aperto alla concorrenza.
è possibile, ad esempio, cambiare il provider di posta elettronica senza perdere i contatti ed i messaggi salvati.
Un limite all’esercizio di tale diritto può essere rinvenuto nei casi in cui i dati sono contenuti in archivi di interesse pubblico come le anagrafi.

Il trasferimento dei dati nei Paesi Extra UE
Resta vietato il trasferimento dei dati personali verso quei Paesi, posti al di fuori dell’Unione Europea, che non rispondono a standards minimi di tutela dei dati medesimi, rispetto a cui, peraltro, il Regolamento introduce criteri di valutazione più severi.
Infatti, in assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati potranno essere trasferiti solo con il consenso esplicito dell’interessato oppure, qualora ricorrano particolari condizioni (ad esempio, importanti motivi di interesse pubblico o necessità di esercitare un diritto in sede giudiziaria).
Il trasferimento o la comunicazione di dati personali di un cittadino dell’UE ad autorità giudiziarie o amministrative di Paesi terzi potranno avvenire solo sulla base di accordi internazionali di mutua assistenza giudiziaria o strumenti analoghi.
Il titolare del trattamento è obbligato a comunicare eventuali violazioni dei dati personali (cd. data breach) all’Autorità Nazionale competente (in Italia è il Garante per la protezione dei dati personali).
Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà di terze persone, il titolare del trattamento dovrà rendere immediatamente partecipi gli interessati, informandoli su come intende limitare le possibili conseguenze negative.
Detto obbligo potrà venir meno nel caso in cui lo stesso titolare ritenga che la violazione possa comportare un rischio elevato o uno sforzo sproporzionato, oppure se dimostrerà di aver comunque adottato idonee misure di sicurezza come la cifratura.
In ogni caso l’Autorità Nazionale ha il potere di imporre il suddetto obbligo di informazione, previa valutazione del rischio associato alla violazione.

Applicabilità del regolamento
Il regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione Europea e non è necessaria una legge di recepimento nazionale. Inoltre, si applica integralmente a quelle imprese che, pur situate al di fuori dell’Unione Europea, offrono servizi o prodotti a persone che si trovano nel territorio comunitario.
Fra le novità del Regolamento c’è l’istituzione di uno “Sportello unico” (cd. One stop shop) deputato a semplificare la gestione dei procedimenti amministrativi garantendo un approccio uniforme.
Le imprese operanti in più Paesi UE, per risolvere eventuali problematiche applicative, potranno rivolgersi ad un solo interlocutore: l’Autorità Nazionale del Paese dove è situata la sede principale.

La cancellazione dei dati e l’art. 17 del Regolamento
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali se:
– i dati personali non sono più necessari;
– l’interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento;
– l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
– i dati personali sono stati trattati illecitamente;
– i dati personali devono essere cancellati per adempiere un obbligo;
– i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.
Viceversa, il diritto di cancellazione non si applica se il trattamento è necessario per:
– l’esercizio del diritto alla libertà di espressione e di informazione;
– l’adempimento di un obbligo legale o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio dei pubblici poteri di cui è investito il titolare del trattamento;
– motivi di interesse pubblico nel settore della sanità pubblica;
– l’archiviazione nel pubblico interesse, di ricerca scientifica e storica o a fini statistici;
– l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Per dato personale si intende qualsiasi informazione relativa ad una persona fisica identificata o, in qualche modo, identificabile.
Tipologie di datiPossiamo distinguere 3 tipologie di dati personali:1) i dati comuni, come il nome, il sesso, la data e il luogo di nascita, l’indirizzo e il codice fiscale;2) i dati sensibili, idonei a rivelare l’origine razziale ed etnica, l’orientamento sessuale, le opinioni politiche o l’adesione a partiti e sindacati, le convinzioni religiose o filosofiche, lo stato di salute, ecc.;3) i dati giudiziari, come l’iscrizione di reati al casellario giudiziale, la qualità di indagato o imputato in un processo penale, la sottoposizione a misure restrittive della libertà personale, ecc.La complessa e delicata materia che attiene alla protezione e alla diffusione dei predetti dati è disciplinata dal Regolamento Europeo n. 2016/679 entrato in vigore il 25.05.2018.Il Regolamento introduce regole più chiare in materia di informativa e consenso, fissa limiti al trattamento automatizzato dei dati personali, stabilisce criteri rigorosi per il loro trasferimento al di fuori dell’UE e per i casi di violazione.Esaminiamo questi elementi nel dettaglio.Informativa
L’informativa diventa sempre più uno strumento di trasparenza riguardo al trattamento dei dati personali ed all’esercizio dei diritti.
Gli interessati sono tenuti a sapere se i loro dati sono trasmessi fuori dall’Unione Europea e con quali garanzie; inoltre, hanno sempre il diritto di revocare il consenso a determinati trattamenti, come ad esempio quelli di marketing diretto.Consenso
Il consenso dell’interessato al trattamento dei propri dati personali deve essere preventivo ed inequivocabile, anche quando è espresso attraverso mezzi elettronici (ad esempio, sul web viene selezionata l’apposita casella). Inoltre, in caso di dati sensibili, il consenso deve essere esplicito.
In pratica il Regolamento esclude ogni forma di tacito consenso, oppure ottenuto proponendo ad un interessato una serie di opzioni già selezionate.
Il consenso può essere revocato in qualsiasi momento ma i trattamenti nel frattempo effettuati restano comunque validi.
 
Minorenni
In caso di trattamento dei dati personali appartenenti a un minore di età inferiore a 16 anni, i fornitori di servizi Internet ed i social media dovranno chiedere il consenso ai genitori o chi esercita la potestà genitoriale.
Limiti al trattamento automatizzato dei dati personaliIl titolare del trattamento dei dati, generalmente un’impresa ma potrebbe essere anche un ente o un’amministrazione, non può adottare decisioni produttive di effetti giuridici come l’erogazione di un servizio o la concessione di un prestito, basandoli esclusivamente sul trattamento automatizzato dei dati (es.: la profilazione ad un sito).Fanno eccezione i casi in cui l’interessato abbia rilasciato un consenso esplicito al trattamento automatizzato dei dati oppure tale tipo di trattamento avvenga in base a specifici obblighi di legge o contrattuali.In ogni caso, è sempre previsto il diritto di opposizione da parte dell’interessato.Diritto all’oblio
Il Regolamento in questione ha introdotto il cd. “Diritto all’oblìo”, attraverso cui gli interessati possono ottenere la cancellazione dei propri dati personali da parte del titolare del trattamento.
L’esercizio di tale diritto diventa particolarmente complicato in Internet con l’utilizzo dei motori di ricerca che, pur essendo a tutti gli effetti responsabili del trattamento dei dati personali, si limitano semplicemente a raccogliere e conservare i medesimi, mettendoli a disposizione dei propri utenti sotto forma di elenchi dei risultati delle loro ricerche.
Tali operatori, in pratica, non esercitano alcun controllo sui dati personali pubblicati sulle pagine web di terzi, effettuando un diverso tipo di trattamento.Diritto alla portabilità
Altro diritto introdotto dal Regolamento è quello alla “portabilità”, cioè quello di trasferire i dati da un titolare del trattamento ad un altro, in un mercato digitale sempre più aperto alla concorrenza.
è possibile, ad esempio, cambiare il provider di posta elettronica senza perdere i contatti ed i messaggi salvati.
Un limite all’esercizio di tale diritto può essere rinvenuto nei casi in cui i dati sono contenuti in archivi di interesse pubblico come le anagrafi.Il trasferimento dei dati nei Paesi Extra UE
Resta vietato il trasferimento dei dati personali verso quei Paesi, posti al di fuori dell’Unione Europea, che non rispondono a standards minimi di tutela dei dati medesimi, rispetto a cui, peraltro, il Regolamento introduce criteri di valutazione più severi.
Infatti, in assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati potranno essere trasferiti solo con il consenso esplicito dell’interessato oppure, qualora ricorrano particolari condizioni (ad esempio, importanti motivi di interesse pubblico o necessità di esercitare un diritto in sede giudiziaria).
Il trasferimento o la comunicazione di dati personali di un cittadino dell’UE ad autorità giudiziarie o amministrative di Paesi terzi potranno avvenire solo sulla base di accordi internazionali di mutua assistenza giudiziaria o strumenti analoghi.
Il titolare del trattamento è obbligato a comunicare eventuali violazioni dei dati personali (cd. data breach) all’Autorità Nazionale competente (in Italia è il Garante per la protezione dei dati personali).
Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà di terze persone, il titolare del trattamento dovrà rendere immediatamente partecipi gli interessati, informandoli su come intende limitare le possibili conseguenze negative.
Detto obbligo potrà venir meno nel caso in cui lo stesso titolare ritenga che la violazione possa comportare un rischio elevato o uno sforzo sproporzionato, oppure se dimostrerà di aver comunque adottato idonee misure di sicurezza come la cifratura.
In ogni caso l’Autorità Nazionale ha il potere di imporre il suddetto obbligo di informazione, previa valutazione del rischio associato alla violazione.Applicabilità del regolamento
Il regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione Europea e non è necessaria una legge di recepimento nazionale. Inoltre, si applica integralmente a quelle imprese che, pur situate al di fuori dell’Unione Europea, offrono servizi o prodotti a persone che si trovano nel territorio comunitario.
Fra le novità del Regolamento c’è l’istituzione di uno “Sportello unico” (cd. One stop shop) deputato a semplificare la gestione dei procedimenti amministrativi garantendo un approccio uniforme.
Le imprese operanti in più Paesi UE, per risolvere eventuali problematiche applicative, potranno rivolgersi ad un solo interlocutore: l’Autorità Nazionale del Paese dove è situata la sede principale.La cancellazione dei dati e l’art. 17 del Regolamento
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali se:
– i dati personali non sono più necessari;
– l’interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento;
– l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
– i dati personali sono stati trattati illecitamente;
– i dati personali devono essere cancellati per adempiere un obbligo;
– i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.
Viceversa, il diritto di cancellazione non si applica se il trattamento è necessario per:
– l’esercizio del diritto alla libertà di espressione e di informazione;
– l’adempimento di un obbligo legale o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio dei pubblici poteri di cui è investito il titolare del trattamento;
– motivi di interesse pubblico nel settore della sanità pubblica;
– l’archiviazione nel pubblico interesse, di ricerca scientifica e storica o a fini statistici;
– l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.