Attualmente è ancora valido il D.Ldg. 196/2003, che altro non è che “Il Codice Privacy”, ma a partire da maggio 2018 questo verrà in buona parte sostituito dal più nuovo e aggiornato regolamento europeo “GDPR General Data Protection Regulation 2016/679”.

Il D.Ldg. 196/2003 “Il Codice Privacy”

Prevede una serie di principi:

Attori
il titolare, il responsabile, l’incaricato (specialità tutta italiana, che individua la persona fisica che entra in contatto con i dati personali)

Il binomio consenso/trattamento
il trattamento di un dato personale è di norma vietato a meno che non ricorra un’autorizzazione prevista dalla legge o il consenso, che deve essere informato, specifico, libero, revocabile, documentato per iscritto

Il contesto online dei siti web, delle app, ecc
privacy policy e cookie policy

Da questo quadro si parte e ci si muove verso il niovo regolamento.

Il “GDPR General Data Protection Regulation 2016/679”

Si tratta di un atto legislativo direttamente applicabile in tutta l’Unione Europea, costituendo quindi anche una serie di diritti per gli interessati.
Alcuni stati possono prevedere delle regole per aumentare maggiormente la tutela dei dati dell’interessato.

Il consenso al trattamento dei dati personali online: privacy, cookie e relative policy

Prima: libero, specifico, informato, documentato per iscritto e sempre revocabile

Secondo il GDPR: libero, specifico, informato, inequivocabile e sempre revocabile; il titolare ha l’onere di dimostrare di aver ottenuto il consenso dell’interessato secondo i requisiti di legge

Questo vale sia nella raccolta di dati per gestire i contatti onine con i soggetti, ma anche nella raccolta di dati ai fini contrattuali (per fare le trattative, per concludere i contratti, per dare avvio allo sviluppo).

La prova del Consenso

La necessità di dimostrare il consenso è rafforzata del GDPR, comportando che:

  • bisogna salvare l’IP di chi sta inviando la richiesta
  • bisogna conservare la versione del form che l’interessato ha sottoscritto
  • bisogna conservare l’intera chiamata inviata al server con il contenuto del form stesso
  • bisogna certificare queste informazioni con marca temporale

Il consenso inequivocabile non può considerarsi come silenzio, inattività e preselezione di una casella. Si tratta di un dettaglio preso da un consideranda, quindi non è una parte intergante del GDPR, ma sarebbe comunque un percorso in salita dimostrare “informato e inequivocabile”.
I consensi raccolti prima dell’entrata in vigore del GDPR possono essere mantenuti, purchè raccolti in ottemperanza della legge e della normativa attiva al momento della raccolta. L’utente di cui abbiamo raccolto i dati entrerà semplicemente in possesso di nuovi diritti.

La portabilità del dato

L’interessato ha diritto di ricevere i dati comunicati ad un titolare in formato elettronico, di uso comune, leggibile e riutilizzabile, per poterli conservare e/o trasferire ad altro titolare.
Il trasferimento può essere ance questo direttamente tra i titolari coinvolti, se tecnicamente fattiile (e qui si apre una questione spinosa: chi determinerà quando è tecnicamente fattibile? con quale rigidità?).

Il diritto alla portabilità riguarda esclusivamente i dati:

  • trattati con strumenti automatizzati
  • il cui trattamento si basa sul consenso dell’interessato o su contratto
  • trasmessi direttamente dall’interessato (non dati derivati o metadata)

Il diritto all’oblio

Gli interessati hannno diritto di richiedere al titolare la cancellazione dei dati che li riguarda.

Le richieste di cancellazione dell’interessato possono essere disattese:

  • quanto entra in gioco il diritto della libertà di espressione ed informazione
    (esempio: cerco informazioni su una persona e trovo conteunti che la descrivono)
  • per adempiere ad un obbligo di legge, per ragioni di pubblico interesse (anche nel settore della sanità pubblica o nell’esercizion di pubblici poteri)
  • per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria

I nuovi principi: Accountability

Valutazione basata sul rischio: DPIA Data Protection Impact Assessment
E’ il processo interno all’organizzazione che permette al titolare di:

  • valutare i rischi inerenti ad una nuova attività di trattamento
  • rendere effettivi i principi di privacy by design e privacy by default

Registro dei trattamenti per aziende con più di 250 dipendenti

Privacy by design e privacy by default