The UE General Data Protection Regulation (GDPR)/Il nuovo Regolamento europeo sulla protezione dei dati personali (GDPR)

How does the privacy change in the EU?

 The UE General Data Protection Regulation n. 2016/679 (GDPR) was adopted by the European Parliament on 8th April 2016 after over four years of debate. It will replace the 1995 Data Protection Directive and it took effect in all Member States on 25th May 2018. As a regulation, the GDPR is directly applicable within the European Union consequently it does not require any national implementing legislation.

The GDPR protects the right to the protection of the personal data laying down rules to regulate the processing and the free movement of them.

According to this, its purpose is to harmonize the data protection laws, creating a framework of common standard rules in the EU.

It applies to «natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data» – so called “controller” – and to «natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller» – so called “processor” – on the other hand[1].

It is essential clarify the GDPR will not applied only to organisations located within the EU but also to all companies located outside of the EU which offer goods and services in EU processing and holding personal data of  EU inhabitants’ personal data. Therefore it will applied to all internet-based business organisations offering goods or services to consumers in the EU. In other words, whether the processing of personal data occurs within the European Union or not, the Regulation shall be applied if the data subject is residing in the EU.  

Under the Regulation, “personal data” concerns «any information relating to an identified or identifiable natural person – so called “data subject” – who «is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person».

While, the locution “processing” is referred to «any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction»[2].

The processing is considered lawful if at least one of the conditions established by the Regulation occurs; for example when the person has given the consent to the processing, when the processing it is essential for the performance of a contract to which that person is party or to protect his/her vital interest …etc[3].

Regarding to the consent, the GDPR establishes conditions from which it is possible identify some principles: first of all, when the consent is given in a written declaration for only one of the matter which it is regulated, «the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language»[4]. In other words, it must be unambiguous. Therefore, it is important that the person who gives the consent must be aware of the processing of his/her personal data. Regarding sensitive personal data, his/her consent must be explicit.

Furthermore, before giving consent, the GDPR requires that the person must be informed  about the right to withdraw his/her consent any time, without this affecting the lawfulness of processing based on consent before its withdrawal[5].

Nevertheless, the GDPR generally prohibits the processing of special categories of personal data such as «racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership»[6]. Besides, it forbids the processing of genetic data[7], biometric data for only identify a natural person[8], data concerning health[9] or data concerning a natural person’s sex life or sexual orientation. However, in certain cases – for instance when the person has given explicit consent to the processing of those personal data or when it is necessary processing special data for exercising specific rights in the field of employment[10], social security and social protection law – the rule above mentioned can be not apply[11].

Regarding the data subject’s rights, the Regulation lays down specific rules inspired by principle of transparency. As a consequence of this, any information and any communication relating to data subject will be «in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child». Generally, it shall be provided in writing or where appropriate by electronic means[12].

Secondly, the GDPR sets out the data subject’s rights such as the right to access to personal data processed[13], the right to rectification[14], the right to restriction of processing[15], right to object[16], etc.

The most original aspect of the GDPR is the so called “right to be forgotten”. Indeed, the Regulation establishes the right to obtain from the controller the erasure of personal data – for instance – when «the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed» or «the personal data have been unlawfully processed»[17].

However, there are some exemptions to the right to be forgotten which allow the organisations to decline the request when the processing is necessary – for example – «for exercising the right of freedom of expression and information» or «for reasons of public interest in the area of public health» or «for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes», etc[18].

Last but not the least, the most important innovation of the GDPR is the principle of accountability which makes the organisations responsible for complying with the regulation and, in addition, it requires them to be able to demonstrate their compliance. It means that processors and controllers have to put in place appropriate technical and organisational measures to meet the requirements of accountability[19].

[1] See articles 4(7)(8), UE General Data Protection Regulation n. 2016/679 (GDPR).

[2] See articles 4(1)(2), GDPR.

[3] See article 6, GDPR.

[4] See article 7(2), GDPR.

[5] See article 7, GDPR.

[6] See article 9(1), GDPR.

[7] Genetic data is referred to a «personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question», art. 4(13) GDPR.

[8] Biometric data is referred to a «personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data», art. 4(14) GDPR.

[9] Data concerning health is referred a «personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status», art. 4(15) GDPR.

[10] See C. Ogriseg, “GDPR and personal data protection in employment context”, in Labour & Law Issues, 2017, 2, 24.

[11] See article 9(2), GDPR.

[12] See article 12(1), GDPR.

[13] See article 15, GDPR.

[14] See article 16, GDPR.

[15] See article 18, GDPR.

[16] See article 21, GDPR.

[17] See article 17(1)(2), GDPR.

[18] See article 17(3), GDPR.

[19] See article 24, GDPR.

Come cambia la privacy nella UE?

Il Regolamento europeo n. 2016/679 sulla Protezione dei Dati Personali (GDPR), adottato dal Parlamento Europeo l’8 aprile 2016, dopo oltre quattro anni di discussioni, sostituisce la Direttiva europea in materia di protezione dei dati personali del 1995 ed è entrato in vigore in tutti gli Stati Membri il 25 maggio 2018. Trattandosi di una norma self executing, il GDPR ha portata generale, è obbligatorio in tutti i suoi elementi ed è direttamente applicabile in ciascuno degli Stati Membri.  Il GDPR garantisce il diritto alla protezione dei dati personali e a tal fine introduce una serie di norme in materia di trattamento dei dati personali e di libera circolazione degli stessi. L’obiettivo è armonizzare le diverse discipline nazionali in materia di protezione dei dati personali attraverso la creazione di un sistema di norme comuni all’interno dell’UE. 

Il Regolamento europeo si applica, da un lato, alla «persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali» – il cosiddetto “titolare del trattamento” – dall’altro, alla «persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che elabora i dati personali per conto del responsabile del trattamento» – ossia il “responsabile del trattamento”.

È importante sottolineare che il GDPR non si applica soltanto alle organizzazioni aventi sede nel territorio dell’UE, ma anche a tutte le società situate al di fuori o che offrono beni e servizi all’interno della stessa e detengono i dati personali di soggetti residenti nel territorio europeo. Di conseguenza, lo stesso ha come destinatarie le società che utilizzano internet come strumento di business, offrendo beni o servizi a consumatori residenti nel territorio dell’UE. In altri termini, indipendentemente dal fatto che il trattamento dei dati personali avvenga o meno all’interno dell’Unione europea, se il destinatario dei beni e servizi è residente nel territorio europeo il regolamento trova applicazione. Ai sensi del Regolamento europeo, per “dati personali” si intende «qualsiasi informazione relativa a una persona fisica identificata o identificabile» – chiamata “interessato” – ossia «una persona fisica che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento ad un identificatore come il nome, un numero di identificazione, i dati di localizzazione, un identificatore online o uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona fisica».

La locuzione “trattamento”, invece, si riferisce a «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».

Il GDPR subordina la liceità del trattamento dei dati personali al verificarsi di almeno una delle condizioni stabilite dallo stesso; a titolo esemplificativo: è considerato lecito il trattamento preceduto dal consenso della persona interessata; così come è lecito il trattamento dei dati all’interno dell’esecuzione di un contratto di cui è parte il soggetto del trattamento; oppure ogniqualvolta il trattamento dei dati personali risulti essenziale per la protezione un interesse fondamentale dell’interessato, ecc… 

Per quanto riguarda il consenso, il GDPR stabilisce alcuni principi fondamentali: in primo luogo, laddove il consenso sia dato in una dichiarazione scritta che riguarda anche altre questioni, «la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro». In altre parole, tale richiesta deve presentare il carattere dell’univocità. Dunque, è fondamentale che il soggetto sia consapevole del trattamento dei propri dati personali. In relazione ai c.d. dati sensibili, il consenso deve essere esplicito.

 In aggiunta, il GDPR stabilisce che prima di esprimere il consenso, l’interessato deve essere informato circa il diritto di poterlo revocare in qualsiasi momento, tuttavia senza che ciò pregiudichi la liceità del trattamento basato sul consenso fornito prima dell’esercizio del diritto di revoca. Ciò nonostante, il GDPR in generale proibisce il trattamento dei c.d. dati sensibili, ossia quei dati relativi «all’origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche o all’appartenenza sindacale». Inoltre, lo stesso vieta il trattamento dei dati genetici, dei dati biometrici, dei dati relativi alla salute oppure dei dati relativi alla vita sessuale o all’orientamento sessuale di una persona fisica. Tuttavia, in alcuni casi, ad esempio quando la persona ha dato il consenso esplicito al trattamento di tali dati oppure quando il trattamento sia indispensabile per l’esercizio dei diritti in materia di diritto del lavoro, sicurezza sociale e protezione sociale, la regola di cui sopra non si applica.

In relazione ai diritti dell’interessato al trattamento, il Regolamento stabilisce una serie di norme ispirate al principio della trasparenza, per cui qualsiasi informazione e comunicazione relativa al trattamento dei dati deve avvenire «in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori». In generale le informazioni sono fornite per iscritto e, se del caso, con mezzi elettronici.

In secondo luogo, il GDPR regolamenta i diritti fondamentali dell’interessato, quali il diritto di accesso ai dati personali, il diritto di rettifica degli stessi, il diritto alla restrizione del trattamento, il diritto di opposizione, ecc.. Uno degli aspetti più originali è la previsione del cosiddetto “diritto all’oblio”. Il regolamento garantisce, infatti, il diritto dell’interessato di ottenere la cancellazione di dati personali, a titolo esemplificativo, qualora «i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati» oppure laddove «i dati personali siano stati trattati illecitamente». Esistono, tuttavia, alcune deroghe al diritto in questione che consentono quindi alle organizzazioni di rifiutare la richiesta di cancellazione laddove il trattamento sia necessario – ad esempio – «per l’esercizio del diritto alla libertà di espressione e informazione» oppure «per motivi di interesse pubblico nel settore della sanità pubblica» oppure, ancora, «per scopi di archiviazione nell’interesse pubblico, ricerca scientifica o storica o scopi statistici»Last but not the least, una delle novità più importanti del GDPR è la previsione del c.d. principio di accountability. Tale principio di “responsabilizzazione” rende le organizzazioni, appunto, garanti della puntuale applicazione del Regolamento in questione, richiedendo agli stessi di dimostrare la conformità alle regole europee del proprio agire attraverso l’adozione di misure tecniche ed organizzative adeguate.

[trx_button type=”square” style=”default” size=”large” icon=”icon-file-pdf” align=”center” link=”” popup=”no” top=”inherit” bottom=”inherit” left=”inherit” right=”inherit” animation=”bounceIn”]Scarica PDF[/trx_button]