Tutela della Privacy: Il Regolamento Europeo sui Dati Personali (GDPR) entra in vigore

Dal 25 maggio, un nuovo quadro normativo regola la protezione dei dati personali, introducendo norme più stringenti e sanzioni pesanti per le violazioni. Il Regolamento Generale sulla Protezione dei Dati (GDPR), applicabile a tutti i soggetti, pubblici e privati, che trattano dati di cittadini europei, anche al di fuori dell’Unione Europea, rafforza significativamente la tutela della privacy. Il GDPR impone una maggiore responsabilità (accountability) ai gestori dei dati, obbligandoli ad adottare misure per prevenire le violazioni e a condurre una valutazione dell’impatto sulla privacy, analizzando i rischi per i diritti e le libertà degli interessati. Il principio di “privacy by design” promuove la sicurezza fin dalla progettazione dei sistemi, mentre il principio di “privacy by default” limita l’utilizzo dei dati solo a quelli essenziali e per il tempo strettamente necessario. L’informativa, con indicazione chiara dei tempi di conservazione dei dati, diventa obbligatoria, e la violazione di tali termini rende il trattamento illegittimo.

Il consenso dell’interessato, requisito fondamentale, deve essere esplicito, informato e libero; il consenso implicito non è più ammesso, e per i minori di 16 anni è richiesto il consenso dei genitori o tutori. I diritti degli individui sono rafforzati: diritto di accesso e informazione sull’utilizzo dei propri dati, diritto di rettifica e modifica delle impostazioni, diritto di revoca del consenso. È inoltre introdotto il diritto alla portabilità dei dati, permettendo il trasferimento da un sistema all’altro, e il divieto di decisioni automatizzate basate su dati personali. Il “diritto all’oblio”, ovvero la cancellazione dei dati dai motori di ricerca e dai media, viene esteso, a meno che la pubblicazione non sia di pubblica utilità.

Un ruolo chiave è affidato al responsabile della protezione dei dati (DPO), incaricato di verificare la conformità al regolamento. In caso di violazione dei dati (data breach), il gestore è tenuto a informare sia il garante nazionale, sia gli interessati, qualora sussista un rischio per i loro diritti e libertà.