LA PRIVACY NEL NUOVO REGOLAMENTO UE: l’informativa e il consenso al trattamento dati

Regolamento UE 2016/679

Dopo un lungo iter legislativo è stato pubblicato in Gazzetta Ufficiale il REGOLAMENTO (UE) 2016/679 del 27 aprile 2016 sulla protezione dei dati e sulla libera circolazione di tali dati che entrerà in vigore il 25 maggio. I titolari del trattamento avranno tempo sino al 25 maggio 2018 per adeguarsi.

Il Regolamento UE 2016/679 introduce grandi novità a partire dal raggiungimento dell’obiettivo di assicurare una disciplina uniforme ed armonizzata tra tutti gli Stati membri, con una maggiore responsabilizzazione per le imprese e al contempo significative semplificazioni sugli adempimenti.

Saranno, quindi, due anni intensi in cui mentre le Autorità Garanti dovranno dare le direttive di coordinamento tra l’attuale normativa vigente (D.lgs. 196/2003) e il nuovo Regolamento UE, i titolari dovranno lavorare per adeguare il proprio sistema di gestione del dato alle nuove regole.

A partire da questo contributo, provvederemo a descrivere le novità significative del nuovo testo legislativo, iniziando dall’informativa e dal consenso pilastri cardine dell’attuale disciplina.

Infatti, analogamente alla direttiva 95/46/CE,  il Regolamento europeo sulla privacy si basa sul consenso e sull’informativa, ma con alcune specificazioni interessanti.

L’informativa, dettagliata agli articoli 13 e 14 del Regolamento, consiste in una serie di informazioni che il titolare deve sempre dare ai soggetti di cui si appresta a trattare i dati, si basa sull’idea fondamentale di trasparenza, prevista dall’art. 5, primo comma, lett. a) del Regolamento.  

L’informativa resta un elemento fondamentale per la liceità dei trattamenti in quanto costituisce la comunicazione all’interessato di tutti gli aspetti del trattamento stesso. Al fine di predisporre un’informativa “idonea” ed “efficace” le informazioni che il titolare del trattamento deve fornire all’interessato devono sempre essere rese in forma concisa,
trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

L’informativa assume una rilevanza fondamentale e le informazioni da fornire sono ancora meglio dettagliate inoltre si distinguono due ipotesi diverse a seconda che i dati siano o meno raccolti presso l’interessato:

• L’art. 13 del Regolamento elenca le informazioni che il titolare deve fornire all’interessato qualora i dati personali siano raccolti presso di lui, da fornire anche in caso di modifica delle finalità di un trattamento già in essere.

• L’art. 14 elenca quelle da rendersi ove i dati non siano ottenuti presso l’interessato. In quest’ultimo caso, le informazioni devono essere fornite entro un tempo ragionevole dall’ottenimento dei dati personali e, al più tardi, entro un mese.

Il Regolamento prevende anche dei casi di esclusione dell’obbligo di informativa, il principale, applicabile alle due casistiche, riguarda l’ipotesi in cui l’interessato disponga già delle informazioni.

L’obbligo di informativa resta un pilastro di tutto il sistema a cui si collega necessariamente il consenso dell’interessato.

Il consenso al trattamento dati è disciplinato dagli articoli 6, 7 e 8 del Regolamento.

Il principio del consenso, ovvero una manifestazione di volontà libera ed esplicita preceduta da una informativa dettagliata è in linea con la disciplina della direttiva 95/46/CE.

Il principio da cui si parte è che ogni trattamento è lecito se l’interessato ha espresso il suo consenso al trattamento. Sono previste, tuttavia eccezioni più numerose rispetto all’attuale normativa, in particolare non serve  il consenso se il trattamento è necessario per l’esecuzione di un contratto, per l’adempimento di un obbligo legale, per la salvaguardia di interessi vitali per una persona fisica, per l’esecuzione da parte del titolare di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, per il perseguimento di un legittimo interesse ove non prevalgano i diritti e le libertà del soggetto interessato.

Vi sono casi, quindi, nei quali il consenso può non esserci, ma sono indicati specificamente nel testo di legge.

Il consenso, nel caso sia necessario, deve avere particolare requisiti, e in particolare deve essere libero, informato e fornito per iscritto, “in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”.

Inoltre,  il titolare del trattamento deve essere sempre in grado di dimostrare che l’interessato ha prestato detto consenso. Tale “prova”, o dimostrazione, può essere fornita ad esempio mostrando moduli o documenti fatti sottoscrivere ad hoc. L’interessato ha, inoltre, diritto di revocare il consenso in qualsiasi momento, e deve sempre essere informato di tale diritto e possibilità di revoca.

A parere di chi scrive l’informativa e il consenso restano due pilastri della normativa sulla protezione dei dati. Hanno, tuttavia beneficiato di una importante evoluzione dettata sicuramente dai nuovi mezzi per trattare i dati, ma anche dalle posizioni delle Autorità Garanti.