Riforma Privacy: cosa cambia dal 25 maggio?

In Privacy
Tempo di Lettura: 4 minuti
 Redatto dal dott. Antonio Massari

COSA CAMBIA CON IL GDPR?

È ormai noto che a partire dal 25 maggio 2018 la disciplina sulla Privacy necessiterà di un adeguamento alle disposizioni del Regolamento (UE) 2016/679, adottato nell’aprile 2016 al fine di rafforzare e unificare la protezione dei dati personali entro i confini dell’Unione europea. Di conseguenza, il modo di trattare ed elaborare i dati personali cambierà a breve e le sanzioni previste in caso di non conformità alla normativa europea saranno importanti – fino a € 20 mln o addirittura il 4% del fatturato mondiale dell’azienda, a seconda della gravità delle violazioni e degli inadempimenti.

Ma quali sono i cambiamenti più significativi? Analizziamone qualcuno:

 

  • innanzitutto il consenso al trattamento dei dati personali dovrà essere non più solo libero, specifico ed informato ma soprattutto inequivocabile: ciò significa che per essere valido l’interessato dovrà esprimere la propria volontà esplicitamente, con un’azione positiva;

 

  • verrà meno l’obbligo per il titolare del trattamento di documentare il consenso per iscritto (ad esclusione del trattamento dei soli dati sensibili) fermo restando che quest’ultimo dovrà essere sempre in grado di dimostrare quando e per quali finalità abbia prestato il consenso. Inoltre, i consensi raccolti precedentemente all’entrata in vigore del Regolamento saranno validi nella misura in cui rispettino gli standard imposti del Regolamento europeo, ovvero quando non risultino essere frutto dell’inattività o del silenzio da parte dell’interessato, siano chiaramente distinguibili, utilizzino un linguaggio semplice e chiaro e non possano essere revocati in modo incondizionato.

 

  • Un’altra novità rilevante introdotta riguarda la disciplina della profilazione, quell’attività di categorizzazione degli utenti basata sull’analisi dei loro gusti, interessi e comportamenti al fine di suddividerli in “profili”. Se nel Codice Privacy ( Lgs. 196/2003) la profilazione era sempre vincolata a un consenso esplicito, con l’entrata in vigore del Regolamento europeo è stato introdotto un elemento differenziale: l’automatismo dell’attività. Infatti il consenso esplicito dell’interessato sarà necessario solo per le attività di profilazione totalmente automatizzate. Diversamente nei casi in cui un soggetto persona fisica potrà correggere, modificare o integrare tali dati, il consenso non sarà più richiesto. Ma quando un’attività si potrà considerare totalmente automatizzata?
    A fare chiarezza è intervenuto, il 3 ottobre 2017, il gruppo di lavoro “Working Party 29” distinguendo e definendo i vari tipi di profilazione: Profilazione generica (raccolta di dati con modalità non solo automatizzata); Decisioni basate sulla profilazione (il caso dell’utente che prende decisioni basandosi su un risultato automatizzato); Decisioni totalmente automatizzate (facendo riferimento a quei casi in cui è un algoritmo che elaborando i dati prende decisioni direttamente, senza interazione umana). Non solo, il WP29 ha precisato che il divieto imposto dall’art. 22 del Regolamento europeo (l’interessato ha diritto a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato) trova applicazione solamente quando il trattamento automatizzato produce un “significativo effetto legale o similare”.
    A tal fine è importante valutare quanto la decisione automatizzata basata sulla profilazione incida sulla sfera privata del soggetto; sulle aspettative del soggetto interessato; sulle modalità con cui il soggetto viene informato, o sulla particolare “debolezza” del soggetto interessato (es: i minori che necessitano di particolari misure di sicurezza). Inoltre, il gruppo di lavoro ha precisato che il Titolare non può bypassare il divieto introdotto dall’art.22 del Regolamento europeo mediante l’adozione di un qualche tipo di interazione umana nel trattamento dei dati automatizzato.
    Infatti, se tale tipo di intervento umano non ha una reale ed effettiva influenza su quella che sarà la decisione dell’interessato, continuerà ad essere considerata una “decisione automatizzata” e come tale, per essere valida, necessiterà di un apposito consenso esplicito. In definitiva ciò che conta è realizzare un trattamento trasparente, equo e legittimo assicurando al soggetto interessato di poter esprimere il suo consenso e il suo punto di vista nell’ambito della decisione automatizzata grazie all’intervento di un soggetto persona fisica.

 

  • Il direct marketing costituisce un altro punto cardine della riforma europea. Per direct marketing, o marketing a risposta diretta, s’intende “l’insieme delle attività di marketing indirizzate, senza l’ausilio di intermediari, ad una precisa categoria di clienti potenziali o reali di un’azienda, ovvero una serie di clienti specifici che hanno già una relazione commerciale con l’azienda.” Secondo il dettato del Codice privacy è lecito trattare i dati personali, oltre che in virtù del consenso espresso dell’interessato, in una serie di altre ipotesi ora elencate dall’art. 6 del Regolamento. Fra queste, alla lettera f), è previsto il caso in cui “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato”.
    Il Regolamento, dunque, non contiene un elenco tassativo dei casi di “legittimo interesse” ma un’importante indicazione ci giunge dal considerando n. 47 che esemplifica in quali circostanze potrebbero sussistere tali legittimi interessi, ovvero “quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento”.
    Tuttavia, il presupposto dell’esistenza di una relazione già avviata e consolidata tra il titolare del trattamento ed il soggetto interessato deve essere accompagnato dalla predisposizione di un’informativa che non lasci spazio a dubbi e/o interpretazioni. Infatti è requisito imprescindibile che l’interessato al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi un ulteriore trattamento, altrimenti gli interessi e i diritti fondamentali dell’interessato prevarranno sugli interessi del titolare del trattamento.
Print Friendly, PDF & Email

You may also read!

Il ruolo dell’Avvocato nella società e nella Costituzione

IL RUOLO DELL’AVVOCATO NELLA SOCIETA’ E NELLA COSTITUZIONE Larino, 26 settembre 2018 – ore 15,30 Palazzo Ducale, Sala Freda

Read More...

SOCIETARIO: Aumento di capitale in criptovalute

Redatto dall’Avv. Franco Pizzabiocca In considerazione della funzione storica primaria del capitale sociale in chiave di garanzia nei confronti

Read More...

Breaking News: a Milano il Tribunale dei brevetti

«Se la Brexit farà il suo corso, non ha senso che una delle tre sedi principali del tribunale unificato

Read More...

Leave a reply:

Your email address will not be published.

Mobile Sliding Menu