Il Codice della Protezione dei Dati Personali ha radici in ambito di disposizioni comunitarie: la direttiva comunitaria 95/46, comunemente definitiva come “direttiva madre”, è il testo di riferimento in materia di privacy, non solo per l'Italia, ma per tutti gli stati membri.
La direttiva è nata con l'obiettivo di agevolare la creazione di un mercato unico, nell'ottica degli effetti che la libera circolazione delle merci e delle persone avrebbe prodotto sulla libera circolazione dei dati. Era nata l'esigenza di uniformare le normative nazionali in tema di protezione dei dati, in modo da superare gli ostacoli al libero commercio dovuti alle diverse legislazioni nazionali, e soprattutto di apprestare precise garanzie, stabilendo dei rigorosi livelli di tutela per trattare i dati.
L'attuazione della direttiva madre, che risale al 1995, non è avvenuta in modo armonizzato tra gli stati membri: alcuni stati, come la Francia e la Svezia, si erano già dotati di leggi nazionali in materia di protezione dei dati personali già intorno agli anni '70; tra i pochi paesi privi di discipline specifiche in materia di protezione dei dati personali c'erano l'Italia e la Grecia.
La legge 1996/675, “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”, è stata la prima legge italiana che recepisce la direttiva europea, e quindi è la prima legge di riferimento in materia di protezione dei dati personali. Si trattava di una legge abbastanza snella, composta di 29 articoli, ma profondamente innovativa nell'ambito dell'ordinamento italiano. In sette anni si sono succeduti nove decreti legislativi: il d.lgs 196 del 2003, comunemente detto “Codice in materia di Protezione dei Dati Personali”, è l'attuale testo unico di riferimento, composto da 186 articoli, che ha razionalizzato e sistematizzato la normativa sulla privacy. Al Codice sono allegati codici di deontologia e di buona condotta, come quello relativo all'attività giornalistica.
Il Codice della Protezione dei Dati Personali
L'art. 2 del Codice, che va tenuto presente nell'ambito dei principi generali fondanti la normativa, riconosce il bene della privacy come diritto soggettivo. Nel primo comma sono contenuti il riferimento alla riservatezza (visione statica della privacy), alla protezione dei dati personali (visione dinamica della privacy), il diritto al rispetto della dignità delle persone e dell'identità personale.
Le principali definizioni del Codice si trovano nell'art. 4 relativa a “dato personale”, “dato sensibile e giudiziario”, “trattamento”, “comunicazione”, “diffusione”. Sebbene tale articolo sia rubricato semplicemente nelle definizioni, una lettura è fondamentale per cominciare ad avere gli strumenti necessari per approfondire la tematica dei dati personali.
Per “dato personale” si intende sia qualsiasi informazione che sia riferibile ad una persona identificata, sia qualsiasi informazione che consenta l'identificazione di un individuo anche indirettamente. Ad esempio, la targa di un'autovettura non è di per sé riconducibile ad alcun soggetto identificato, ma generalmente è considerata un dato personale, perché se incrociata ad altri dati (come quelli in possesso del P.R.A.) permette di risalire al proprietario dell'autovettura.
Nell'ambito dei dati personali, una particolare categoria è quella dei “dati sensibili e giudiziari”: si tratta di due tipologie di dati per i quali la normativa appresta particolari e stringenti forme di tutela in ragione della loro estrema delicatezza. I dati sensibili sono quelli con i quali è ad esempio possibile esplicitare le appartenenze religiose e politiche; rientrano in questa categoria anche i dati super-sensibili, come quelli relativi alla vita sessuale e alla salute. I dati giudiziari, contenuti fondamentalmente nel casellario giudiziario, fanno invece riferimento ai dati di natura penale.
Sempre nell'ambito dell'art. 4, per “trattamento” si intendono tutte le attività compiute su un dato di un soggetto, come la raccolta, l'elaborazione, la comunicazione; per “comunicazione” si intende la comunicazione del dato a soggetti determinati e per “diffusione” la comunicazione del dato a soggetti indeterminati (distinzione importante per i dati sensibili, ad esempio il divieto di diffondere informazioni relative alla salute di determinati soggetti).
I soggetti che materialmente effettuano il trattamento, la cui disciplina è contenuta negli art. 28, 29 e 30, sono “il titolare del trattamento”, “il responsabile”, “l'incaricato”: sono i soggetti che materialmente effettuano il trattamento dei dati.
Il titolare del trattamento, che ha un ruolo di fondamentale importanza, è il soggetto che stabilisce le modalità e le finalità della raccolta dei dati. Il responsabile è colui che segue le indicazioni del titolare per quanto riguarda il trattamento dei dati, ed ha precisi obblighi in materia di rispetto delle misure di sicurezza in riferimento ai dati trattati. L'incaricato è la persona fisica che materialmente compie le operazioni sul dato, per esempio è il soggetto che tramite il computer inserisce il dato in una determinata tipologia di banche dati. Tale distinzione dei ruoli si rivela importante nel caso di un eventuale trattamento posto in essere in maniera non conforme alla normativa.
L'art. 11, sempre nell'ambito dei principi generali, stabilisce che i dati possono essere trattati soltanto nel rispetto del principio di finalità per i quali sono stati raccolti, del principio di pertinenza e non eccedenza dei dati, ovvero è lecito utilizzare esclusivamente i dati strettamente necessari alle finalità perseguite; tale articolo stabilisce anche le qualità che i dati devono avere: i dati devono essere sempre esatti, aggiornati, completi e pertinenti. Al secondo comma, è stabilito in maniera perentoria che: «I dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati».
Le regole generali per il trattamento fissate nel Codice
Il Codice distingue le norme in base al fatto che i soggetti che effettuano il trattamento siano pubblici o privati.
Dall'art. 18 all'art. 22 sono poste norme per il trattamento dei dati da parte di enti pubblici: è stabilito che non serve il consenso, ma occorre perseguire un fine istituzionale (stabilito dalla legge), occorre l'informativa, è posto il divieto di diffusione dei dati sensibili.
Dall'art. 23 a 27 è posta la disciplina per il trattamento dei dati da parte di enti privati: serve il consenso (salvo casi particolari indicati nell'art. 24) e serve l'informativa.
Esistono disposizioni particolari relative ad ambiti specifici, come in ambito giudiziario, di polizia, di difesa e di sicurezza, relativi al mondo dell'informazione. Ad esempio, in ambito giornalistico non è richiesto il consenso dell'interessato al trattamento dei dati, però è richiesta l'informativa, a meno che questa non comprometta l'identità o l'attività del giornalista (nel giornalismo d'inchiesta, ad esempio, non è richiesta alcuna informativa).
Il consenso dell'interessato (art. 23), necessario per il trattamento dei dati da parte di privati, deve essere prestato con canoni conformi anche a disposizioni civilistiche, deve cioè essere un consenso libero, non viziato da violenza od errore, un consenso esplicito (scritto nel caso di dati sensibili), un consenso riferito a particolari modalità del trattamento.
L'informativa agli interessati e i suoi requisiti (art. 13) è il presupposto fondamentale per consentire un trattamento che sia conforme alla legge. Si presume che l'interessato sia informato (normalmente per iscritto, ma non è necessario) sulle finalità e modalità del trattamento a cui sono destinati i dati, la possibilità di conferire o meno i dati, le conseguenze di un eventuale rifiuto nel conferirli. L'informativa deve essere sempre fornita prima di qualunque tipologia di trattamento e il contenuto principale che deve essere reso ben evidenziato riguarda i diritti che l'interessato può esercitare sui propri dati.
Per casi particolari, come in quello della sorveglianza, il Garante ha autorizzato informative molto semplificate, che nel caso specifico si concretizza con l'esposizione di un cartello con l'immagine di una videocamera, che renda ben evidente che nella zona vengono effettuate riprese.
I diritti dell'interessato e gli strumenti di tutela
Nell'art. 7 sono enucleati i diritti riconosciuti all'interessato a tutela e a protezione dei propri dati. In particolare, si prevede che l'interessato, sotto quello che viene comunemente definito “diritto di accesso”, ha il diritto di chiedere a chi detiene il dato informazioni relative allo stesso, alle modalità con le quali è stato trattato, alle finalità della raccolta. Si prevede inoltre espressamente, al terzo comma, che l'interessato abbia il diritto di ottenere l'aggiornamento, la rettificazione, ovvero l'integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge.
Gli art. 8 e 9 disciplinano le modalità attraverso le quali l'interessato può agire a tutela dei propri diritti. La prima operazione di rilievo per il soggetto è quella di rivolgere al titolare del trattamento un interpello preventivo, ossia una istanza di accesso per conoscere le modalità della raccolta, le finalità del trattamento, i soggetti a cui i dati eventualmente possono essere stati comunicati. Una volta ricevuto l'interpello preventivo, il titolare del trattamento ha l'obbligo di rispondere entro 15 giorni. La richiesta deve mantenere il carattere della gratuità, partendo dal presupposto che il dato è di proprietà dell'interessato anche se viene trattato dal titolare. Le modalità di riscontro all'interessato, così come di invio dell'istanza al titolare, non seguono particolari formalità (è ammesso anche un semplice fax o una email).
Sul sito del Garante: Come agire per tutelare i nostri dati personali?
La tutela amministrativa innanzi al Garante è esplicitata negli art. 141 e 151 e comprende: “ricorso”, “reclamo”, “segnalazione”. Se l'interessato non ha ricevuto risposta al suo interpello preventivo oppure ci sono elementi che mantengono un livello di criticità, può esercitare i propri diritti innanzi al Garante, presentando specifiche istanze che il Codice disciplina in maniera dettagliata. Il ricorso innanzi al Garante è sempre alternativo rispetto al ricorso che si può fare innanzi a un giudice ordinario e può essere fatto per esercitare i diritti all'art. 7. Il reclamo è un'altra forma di segnalazione, che non è legata strettamente ai diritti all'art. 7 e può fatta quando l'interessato, in riferimento a fatti ben circostanziati, può segnalare eventuali illeciti che non necessariamente lo riguardano. La segnalazione, a differenza del reclamo, può essere rivolta al Garante con modalità più generiche.
Da tenere presente che il Garante non può condannare al risarcimento del danno, per ottenere il quale c'è soltanto la possibilità di ricorrere al giudice ordinario, tenendo però presente che se è stato presentato un ricorso al Garante non può essere ripresentato, per lo stesso oggetto, al giudice ordinario: i due strumenti di tutela sono quindi alternativi e mutualmente esclusivi.
L'art. 152 tratta la tutela giurisdizionale innanzi al Giudice ordinario: le controversie sono regolate dal rito del lavoro e la sentenza non è appellabile. L'esito degli eventuali ricorsi fatti al Garante possono essere provvedimenti di carattere inibitorio con i quali, nel caso in cui sia accertata l'illiceità del trattamento, lo si blocca, lo si vieta, si obbliga il titolare a procedere alla rettifica, alla cancellazione, all'anonimizzazione del dato. I provvedimenti del Garante possono essere impugnati di fronte al giudice ordinario, perché una peculiarità del Garante, che rientra nel novero delle autorità indipendenti, è che la competenza per le sue decisioni è di fronte al giudice ordinario (mentre di solito la competenza per le decisioni delle autorità indipendenti è di fronte al giudice amministrativo).
La sentenza del giudice ordinario che definisce su un'eventuale controversia nata dai provvedimenti del Garante non è appellabile, ma può essere impugnata ricorrendo in Cassazione.
Il nuovo pacchetto europeo per la protezione dei dati
Il nuovo pacchetto europeo per la protezione dei dati, non ancora approvato, dovrebbe realizzare una rivoluzione in materia di data-protection, una privacy revolution. E' da considerarsi un cantiere aperto.
Il nuovo atto in esame dal 2012, per sostituire la direttiva madre comunitaria 95/46, è una proposta di “Regolamento del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)”.
La direttiva 95/46 è la c.d. direttiva madre in materia di protezione dei dati, nata nel 1995 in un momento in cui tutta l'Europa ha sentito l'esigenza di trovare dei punti di riferimento comuni in materia di privacy, laddove proprio delle prime tecnologie, dei primi problemi di protezione dei dati nella vita online e nella vita reale stavano cominciando ad affacciarsi (non paragonabili a quelli di oggi) e le soluzioni trovate a questi problemi erano le più disparate nei paesi europei. Pertanto l'Europa sentì l'esigenza di arrivare ad un testo unico, ad una direttiva, che ancorché lasciasse un margine di autonomia relativo ai paesi membri in sede di recepimento, portasse ad armonia alcune disposizioni chiave, alcuni principi generali in materia di protezione dei dati, come:
-
il principio di necessità del trattamento dei dati;
-
il principio di proporzionalità del trattamento dei dati;
-
il principio di finalità del trattamento dei dati (ossia che i dati devono essere trattati non oltre le finalità per le quali sono stati raccolti o ceduti).
Questa direttiva basata su questi principi fondamentali va poi a declinare tutte quelle che sono le altre norme in materia di protezione dei dati che hanno costituito il fulcro della privacy europea, dall'informativa, al diritto di accesso ai propri dati, a tutte le possibilità di rimedio in caso di violazione della protezione dei dati. Questa direttiva, dal 1995 al 2012, si è comunque resa obsoleta e non è riuscita totalmente nell'intento di armonizzare la disciplina, non essendo una manovra dell'Unione Europea direttamente applicabile, ma necessitando di normative di recepimento da parte degli Stati membri. Si è visto che alcuni paesi europei più “garantisti”, tra cui l'Italia, la Francia e la Germania, avevano adottato e recepito la direttiva in maniera molto stringente, a volte aggiungendo garanzie, mentre altri paesi nord-europei di stampo tendenzialmente più anglosassone, avevano in parte recepito il dettame europeo così come scritto nella direttiva e, in altra parte, in maniera sostanzialmente diversa dai paesi “forti” in materia di privacy.
Pertanto, per questa disarmonia, per questa asimmetria regolatoria che si era manifestata negli anni, e soprattutto per l'evoluzione e l'espansione esponenziale della Rete, delle tecnologie del web 2.0, del cloud computing, dei device, degli smartphone, dei tablet, dei social media, e di tutto il mondo degli over the top (operatori telefonici, Google, Facebook, Twitter, ecc.), la Commissione Europea, in virtù del suo potere di proposta legislativa, ha proposto una riforma del pacchetto di protezione dei dati. Il regolamento proposto pone attenzione soprattutto a quei fenomeni che nel 1995 erano impensabili, ma che si sono resi sempre più frequenti e che riguardano il trattamento dei dati personali in Rete, cioè in un mondo online in cui i confini territoriali sfuggono, ponendo pertanto un problema notevole di legge applicabile e creando asimmetrie regolatorie tra paesi che sono fuori dal confine europeo ma hanno aziende che forniscono beni e servizi ai cittadini europei e paesi che invece rientrano in Europa e che sono soggetti a tutti quei limiti che l'Europa impone agli operatori privati che forniscono servizi.
Il 12 marzo 2014 il Parlamento Europeo ha approvato in prima lettura il progetto di Regolamento generale che riformerà ed aggiornerà la legislazione europea in materia di protezione dei dati personali, in vigore da ormai 19 anni. Questo passaggio rappresenta un’importante indicazione di progresso nell’iter legislativo di approvazione. E' importante notare che i regolamenti UE sono immediatamente esecutivi, non richiedendo la necessità di recepimento da parte degli Stati membri: per questo motivo possono garantire una maggiore armonizzazione a livello dell'intera UE.
Il Regolamento introdurrà nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali. Da segnalare l’introduzione del diritto dell’interessato alla "portabilità del dato" (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) e del diritto all'oblio per cui ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime). Questo potrà accadere ad esempio in ambito web quando un utente richiederà l’eliminazione dei propri dati in possesso di un social network o di altro servizio web.
Per Titolari e Responsabili del trattamento le novità saranno parecchie. Il principio della accountability comporterà l'onere di dimostrare l'adozione, senza convenzionalismi, di tutte le misure privacy in capo a chi tratta i dati. Bisognerà redigere e conservare opportune documentazioni attestanti il “modello organizzativo e di sicurezza privacy”, saranno necessarie “valutazioni d'impatto sulla protezione dei dati personali”, in caso di trattamenti rischiosi, e verifiche preliminari per diverse circostanze da parte del Garante. Si valicherà, peraltro, la prassi di notificazione all'autorità, con notevole semplificazione per le attività d'impresa pluri-nazionali (fatta eccezione per l'obbligo di notifica entro 24 ore di una eventuale perdita di dati, o data breach).
Un’ulteriore novità rappresenta l'obbligo, per le imprese con oltre 250 dipendenti e per tutti gli enti pubblici, di nominare un “privacy officer”, interno o esterno, con un’ampia conoscenza della normativa, che sarà in relazione diretta con i vertici aziendali.
(Da notare che tutte queste misure si riferiscono al regolamento proposto nel 2012, e non alle eventuali modifiche successivamente apportate).
Oltre al regolamento, c'è una proposta di “Direttiva del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati” (sostituisce la Decisione quadro 977/2008 del Consiglio GAI, Giustizia e Affari Interni). La proposta di direttiva mira a proteggere i dati personali dei cittadini europei trattati in un altro ambito, quindi non nel mercato interno per il quale resta il regolamento nel corso di adozione, ma nel settore di polizia, giustizia e affari interni, che ha degli aspetti di protezione dei dati molto più delicati. Si è ritenuto necessario isolare questi due testi.
Su questo pacchetto di riforma, il “Gruppo art. 29”, ossia il gruppo delle autorità garanti europee che si riunisce per volontà della direttiva madre 95/46, che all'art. 29 ha previsto un organo di riunione delle autorità della privacy per un confronto effettivo sulle pratiche e sulle problematiche di protezione dei dati che nelle loro attività rispettivamente incontrano, ha protestato vivamente, perché tutti i pareri che il Gruppo art. 29 negli anni, dalla direttiva in poi, cioè da quando era stato istituito, aveva elaborato per una protezione dei dati sempre più efficace ed effettiva, basandosi sull'esperienza maturata a contatto con i cittadini, sono stati “scavalcati” dal regolamento. Preoccupato da garanzie a volte ridotte e dallo strapotere della Commissione, il Gruppo art. 29 ha ritenuto di uscire subito con un parere. Si tratta del parere 1/2012 sulle proposte di riforma in materia di protezione dei dati, adottato il 23 marzo 2012 (WP 191). Successivamente il Gruppo art. 29 ha ritenuto di uscirsene con un secondo parere, il parere 8/2012, che ha fornito un ulteriore contributo alle discussioni sulla riforma in materia di protezione dei dati, adottato il 5 ottobre 2012 (WP 199). A inizio 2013, il Gruppo art. 29 ha elaborato un documento di lavoro 1/2013 sugli atti di esecuzione (WP 200), per il motivo legato allo strapotere della Commissione, meglio specificato più avanti.
Il Gruppo art. 29 ha ritenuto che il regolamento fosse certamente da applaudire per tutti quei principi che inseriva, quelle attenzioni riservate soprattutto alla tutela della protezione dei dati online, come:
-
il diritto all'oblio (art. 17 della bozza di regolamento) previsto anche per i minori di 16 anni (quindi una grandissima novità e anche un avanzamento di tutela rispetto a categorie particolarmente vulnerabili come i minori, che lasciando dati in rete, nei social network, nei forum, nei blog, spesso con disinvoltura eccessiva, si possono trovare nella vita da adulti a voler esercitare il diritto all'oblio di ciò che un tempo hanno caricato in rete);
-
l'accountability del titolare del trattamento (art. 22 della bozza di regolamento), che prevede una vera e propria responsabilizzazione di chi tratta i dati in tutte le fasi, in tutto il ciclo del trattamento (raccolta, trattamento vero e proprio, utilizzo, eventuale utilizzo per fini secondari), quindi non più una volta all'anno l'esibizione di misure di sicurezza in un documento programmatico sulla sicurezza, spesso redatto all'ultimo minuto come se fosse un mero compitino; tale articolo prevede l'istituzione di una persona preposta a tutto ciò che concerne la sicurezza in una realtà sia pubblica che privata con più di 250 dipendenti, il c.d. D.P.O., Data Protection Officer, che sia a garanzia e a presidio che siano applicate tutte le misura necessarie affinché la privacy dei clienti o dei cittadini sia rispettata in basa alle norme previste dal regolamento.
Il Gruppo art. 29 ha però visto aspetti inquietanti nella bozza di regolamento, tra cui:
-
lo strapotere della Commissione, che in molte norme che ha abbozzato in questo regolamento ha previsto per se stessa il potere di “dettagliare” (ovvero di scriversi da sola) le norme che prevedono il da farsi, i c.d. “atti di esecuzione”, per cui quello che si chiede di fare agli stati membri viene deciso, in un secondo momento, dalla Commissione europea. Quello che negli anni il Gruppo art. 29 ha sempre cercato di fare è di essere portavoce del popolo, portavoce delle esigenze della gente, anche in base a quello che le autorità europee in materia di protezione dei dati, nella realtà di ricorsi, segnalazioni e reclami hanno potuto constatare negli anni.
Non soltanto il Gruppo art. 29, ma anche un'altra istituzione fondamentale in materia di protezione dei dati, il GEPD, Garante Europeo per la Protezione dei Dati, è intervenuta a voce alta. Si è trattata di una vera e propria protesta: con il parere del 7 marzo 2012 sul pacchetto di riforma della protezione dei dati personali ha detto chiaramente che il pacchetto andava rivisto in più punti per renderlo più vicino a quello che negli anni, dal 1995 al 2012, le autorità europee della privacy hanno chiesto, hanno vigilato, hanno controllato.
La Proposta di Regolamento – Alcuni punti importanti
1. Campo di applicazione territoriale (Capo I, Disposizioni Generali, art. 3). Questo è il fulcro di tutta la previsione normativa del regolamento, con il quale l'Europa riesce finalmente a “imporsi” sugli Stati Uniti. Molte multinazionali, i c.d. over the top, quasi tutti con sede in California, a Silicon Valley (Google, Facebook, Twitter, ecc.), che sono soggetti strapotenti che dominano completamente il mercato e le relazioni, e che sono in grado di profilare tutti i cittadini europei e non, hanno avuto la possibilità di emergere in tal modo e di fare da padroni proprio per un problema di legge applicabile. Nei loro confronti, in quanto soggetti aventi sede legale in USA, non era possibile pretendere l'applicazione delle regole europee sulla protezione dei dati, perché mancava per il principio di stabilimento la necessità di prova dell'utilizzo dei c.d. equipments, cioè strumenti sul territorio presso il quale si offrono beni e servizi. Pertanto, nell'art. 3 comma 2 l'Europa ha deciso di ribadire con forza l'importanza della propria normativa, prevedendo l'applicazione anche al di fuori del proprio territorio, a tutela dei propri cittadini, quando il trattamento dei dati riguarda l'offerta agli stessi di beni e servizi o il controllo dei loro comportamenti.
Copio l'articolo:
Articolo 3
Campo di applicazione territoriale
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento di un responsabile del trattamento o di un incaricato del trattamento nell’Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di residenti nell’Unione effettuato da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti residenti nell’Unione,
oppure
b) il controllo del loro comportamento.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un responsabile del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico.
2. Nuove definizioni
Il nuovo regolamento prevede integrazioni alle definizioni esistenti nella direttiva 95/46 e tante nuove definizioni: dati genetici, biometrici, relativi alla salute, violazione dei dati personali, stabilimento principale, norme vincolanti d'impresa.
3. Identificazioni del diritto all'oblio
Il diritto all'oblio, introdotto all'art. 17, è fondamentale ed è sicuramente uno degli aspetti che ha reso più forte e più democratica la nuova disciplina, rendendo possibile l'esercizio effettivo di una vera e propria autodeterminazione informativa sui propri diritti. Si veda l'articolo “Diritto all'oblio in Internet?!”
4. Diritto alla portabilità dei dati
Introdotto all'art. 18, è il diritto di poter trasferire i propri dati da un service provider ad un altro, al fine di favorire anche la competitività tra i servizi.
5. “Accountability” (responsabilizzazione) del titolare del trattamento
6. Istituzione del Data Protection Officer (per soggetti pubblici e aziende con più di 250 dipendenti).
7. Privacy by design e by default
Pensare alla privacy fin dall'inizio di un'attività
8. Valutazione d'impatto sulla protezione dei dati (DPIA)
Ennesima misura, posta a tutela degli interessati, che consiste nel valutare che impatto sulla protezione dei dati può avere uno specifico trattamento, una specifica raccolta dei dati e conservazione (data retention).
9. Notificazione di una violazione dei dati personali all'autorità di controllo e all'interessato (Personal Data Breach)
10. I poteri delle Autorità cambiano radicalmente.
Principio dello one-stop-shop: tutte le Autorità dovranno collaborare strettamente
11. Sanzioni amministrative europee fino al 2% del fatturato dell'azienda
(Appunti presi seguendo il corso di "Diritto e nuovi media", Uninettuno)
Francesco Galgani,
15 luglio 2014