Chi Siamo
Il terreno elettivo quindi per la ordinata cura di entrambi gli interessi, solo apparentemente opposti, va individuato nella corretta applicazione delle norme tecniche sviluppate per i processi produttivi in campo industriale. Infatti la caratteristica di non obbligatorietà delle norme in parola si addice bene alla nuova responsabilità (accountability) delineata dal Regolamento (UE) n. 2016/679 per il titolare e il responsabile del trattamento. Essi diventano autori del proprio sistema privacy e, dovendo dimostrare la correttezza delle scelte al riguardo fatte, possono invocare la autorità degli istituti di normazione di cui ripetono le norme per la gestione del rischio. Norme che venivano elaborate attraverso il consenso degli interessati (cd. soft law) ma, una volta prese a riferimento dall’ordinamento giuridico europeo, sono diventate più vincolanti di una qualsiasi norma proprietaria. Si può concludere che il diritto alla protezione dei dati non è un diritto assoluto, ma deve essere contemperato con altri diritti (l’art. 8 della Carta dei diritti fondamentali della Unione europea, UE 2000, recita infatti che “va considerato alla luce della sua funzione sociale”). Anche nel sistema giuridico della Convenzione europea dei diritti dell’uomo (Consiglio d’Europa, 1950-1953), il diritto al rispetto della vita privata e familiare deve essere esercitato rispettando, a sua volta, l’ambito di efficacia di altri diritti concorrenti (art. 8, para. 2). Tale contemperamento e bilanciamento dei diritti è stato ripetutamente affermato dalla giurisprudenza europea, sia dalla Corte EDU che dalla CGUE. Il diritto di iniziativa economica privata (art. 41 Cost. it.), in particolare, va bilanciato con il diritto alla riservatezza. Anzi è possibile affermare che il moderno diritto di impresa è orientato naturalmente alla osservanza del GDPR.
È questo il motivo per cui gli standard ISO sono utili alla comprensione e alla osservanza del GDPR. Nel momento in cui infatti organizzo la mia impresa, assicuro la protezione dei dati personali mediante i quali faccio una «impresa di qualità». La privacy diventa il mezzo per raggiungere gli obiettivi di impresa e da ‘costo’ si trasforma in una ‘risorsa’ (vedi RASI GAETANO (a cura di), Da costo a risorsa. La tutela dei dati personali nelle attività produttive, Roma – IPZS 2004). Contrapporre invece, come ancora troppo spesso si sente dire, impresa e privacy significa perdere una opportunità di sviluppo del proprio business. E il trait d’union fra i due ambiti è dato dal concetto di rischio e dal lavoro svolto non per eliminarlo, ma per ridurlo.
Oneprotection fornisce servizi di consulenza e assistenza legale al management aziendale sulla nuova normativa del GDPR.
Cosa è il GDPR?
General Data Protection Regulation
Il regolamento generale sulla protezione dei dati n. 2016/679, meglio noto con la sigla GDPR, è un regolamento della Unione Europea in materia di trattamento dei dati personali e quindi di privacy.
Con questo regolamento la Commissione Europea intende rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini e dei residenti nella Unione Europea, sia all'interno che all'esterno dei suoi confini.
Il testo, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed è entrato in vigore il 25 maggio dello stesso anno; è invece operativo a partire dal 25 maggio 2018.
Il regolamento affronta anche il tema del trasferimento dei dati personali al di fuori della UE e obbliga tutti i titolari del trattamento dei dati (anche quelli aventi la sede legale fuori dalla Unione Europea), che trattano i dati dei residenti nella Unione Europea, ad osservare e adempiere agli obblighi ivi previsti. Gli obiettivi principali della Commissione Europea fissati nel GDPR sono quelli di restituire alle persone fisiche il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro la UE.
Dalla sua entrata in vigore il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e in Italia ha imposto la abrogazione delle norme del Codice per la protezione dei dati personali (D.Lgs. n. 196/03) con esso incompatibili.
Il nuovo regolamento afferma che la protezione dei dati personali è un diritto fondamentale delle persone fisiche. Art. 1, para. 2
L'odierno regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare quello alla protezione dei dati personali.
In questa ottica il principio cardine del nuovo regolamento è costituito dalla autodeterminazione informativa, un concetto ben noto in Germania dove la Corte Costituzionale ha dichiarato che essa è una condizione necessaria per il libero sviluppo della personalità del cittadino nonchè un elemento essenziale di una società democratica.
Novità essenziali
Novità essenziali introdotte dal GDPR
Consenso: strumento di garanzia anche on line
Profilazione: limiti alla possibilità per il titolare del trattamento di adottare decisioni solo sulla base di un trattamento automatizzato dei dati
Oblio: più tutele con il diritto all‘essere dimenticato
Portabilità dei dati: liberi di trasferire i propri dati in un mercato digitale più aperto alla concorrenza
Trasferimento extra UE: garanzie rigorose per il trasferimento dei dati al di fuori della Unione Europea
One Stop Shop: un unico insieme di norme per tutti gli Stati della Unione Europea
Accountability e Risk Management: approccio basato sul principio della responsabilità e sulla valutazione del rischio, che premia i soggetti più responsabili
Codici di condotta e Certificazioni: semplificazioni per i soggetti che offrono maggiori garanzie e promuovono sistemi di autoregolamentazione
DPO: introduzione della figura del Data Protection Officer (RPD – Responsabile della Protezione dei Dati)