Oggi, 25 maggio 2018, è entrato in vigore in tutti gli Stati dell'Unione europea il Regolamento Ue 2016/679 noto anche come 'General Data Protection Regulation' (GDPR). La nuova normativa punta a rendere più semplici e moderni alcuni aspetti della gestione dei dati personali, provocando notevoli cambiamenti per utenti e addetti ai lavori. Proprio chi fornisce servizi su internet sarà tenuto ad allinearsi al nuovo regolamento, chiedendo il consenso esplicito dei clienti per l'utilizzo dei dati. Le novità riguardano imprese e dipendenti, sia privati che pubblici, che sono tenuti a chiedere un formale beneplacito anche soltanto per l'utilizzo di un indirizzo di posta elettronica per l'invio di newsletter. Non a caso, negli ultimi giorni, sono decine le mail inviate per chiedere tale consenso da parte di uffici e aziende legate al mondo della comunicazione e non solo.

Il nuovo regolamento

La nuova normativa, che si può consultare al seguente link, si occupa di protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché di libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) - al primo articolo ('Oggetto e finalità') definisce la protezione di "diritti e libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali".

“La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali".

Il glossario

Dopo aver inoltre definito alcuni termini del glossario della materia (tra cui 'dato personale', 'profilazione', 'pseudonimizzazione', 'dati generici', 'dati biometrici') all'articolo 5 definisce i principi applicabili al trattamento. Poi al Capo III si occupa di 'Diritti dell'interessato', al Capo IV del 'Titolare del trattamento' e al Capo V del 'Trasferimento dei dati personali verso Paesi terzi'.

Gli obblighi

E ancora capitoli dedicati a 'Autorità di controllo indipendenti', 'Cooperazione e coerenza', 'Mezzi di ricorso', 'Disposizioni specifiche', concludendo con gli 'Atti delegati' e le 'Disposizioni finali'. Per un totale di 99 articoli la cui entrata in vigore e applicazione, si legge, "si applica a decorrere dal 25 maggio 2018", definendo "obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri" tale regolamento.

Cosa cambia con il nuovo regolamento

Il regolamento, si legge sul sito del Garante della privacy (che offre una guida on line), "conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy - d.lgs. 196/2003".

Inoltre, viene spiegato, "NON deve essere necessariamente 'documentato per iscritto', né è richiesta la 'forma scritta', anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere 'esplicito' (per i dati sensibili); inoltre, il titolare (art. 7.1) DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento".

E ancora: "Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci".

Cosa resta invariato

Resta invece la parte dedicata al fatto che il consenso "DEVE essere, in tutti i casi, libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo)". E che "DEVE essere manifestato attraverso 'dichiarazione o azione positiva inequivocabile' (per approfondimenti, si vedano considerando 39 e 42 del regolamento)".

E ancora, per quanto riguarda il capitolo 'Diritti dell'interessato', ad esempio, cambia la parte dedicata al termine per la risposta all'interessato che "è per tutti i diritti (compreso il diritto di accesso) 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all'interessato entro 1 mese dalla richiesta, anche in caso di diniego". E "la risposta fornita all'interessato non deve essere solo 'intelligibile' ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro".

Mentre non cambia il fatto che "l'esercizio dei diritti è, in linea di principio, gratuito per l'interessato, ma possono esservi eccezioni". Il titolare ha il diritto di chiedere informazioni necessarie a identificare l'interessato, e quest'ultimo ha il dovere di fornirle.