Il GDPR (acronimo di “General Data Protection Regulation” o Regolamento europeo sulla protezione dei dati personali, n. 2016/679) detta nuove e più stringenti regole per ciò che riguarda le informazioni che devono essere fornite all’interessato da parte del soggetto titolare del trattamento dei dati personali e che vengono riportate in un documento comunemente denominato “informativa privacy”.

I dati personali possono essere raccolti ed elaborati, al ricorrere di una delle condizioni di liceità previste dall’art. 6 del GDPR, per finalità determinate, esplicite e legittime e il trattamento potrà essere effettuato entro i limiti di quanto necessario per il raggiungimento di tali finalità prestabilite (art. 5, co. 1, lett. b, GDPR: “I dati personali sono: […] b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali «limitazione della finalità»).

I dati personali devono essere trattati, in primo luogo, in modo lecito.

Ma cosa significa concretamente liceità di un trattamento?

Sul punto interviene l’art. 6 del GDPR, che ricalca per lo più la disciplina già introdotta nel nostro ordinamento dal Codice della Privacy e stabilisce che il trattamento di dati personali è effettuato in modo lecito soltanto al ricorrere di almeno una delle condizioni espressamente previste dallo stesso articolo. Questi presupposti di liceità sono:

Ciascun interessato deve conoscere quali sono i propri dati personali oggetto di trattamento, da chi sono trattati, per quale finalità e per quanto tempo. Solo così, infatti, sarà davvero possibile controllare il rispetto del proprio diritto alla protezione dei dati ed eventualmente intervenire per bloccare un utilizzo illecito.

Un termine che si sente ripetere spesso in relazione al GDPR è quello di “accountabilty”, equivalente inglese dell’italiano “responsabilizzazione”.

Comprendere cosa si intende con questa espressione è fondamentale, poiché l’intera impostazione del Regolamento si basa su questo concetto, in un’ottica fortemente innovativa rispetto alla prospettiva del Codice Privacy: i singoli titolari sono ora chiamati in prima persona a decidere quale sia il modo migliore per rispettare la disciplina del Regolamento nell’ambito dello specifico trattamento effettuato.

Quando si parla di “privacy” si fa normalmente riferimento al diritto fondamentale, riconosciuto a ciascun individuo, di controllare l’uso e la circolazione dei propri dati personali.

Nel corso degli anni la circolazione dei dati personali ha assunto un ruolo e un’importanzacentrali non solo a livello sociale, ma anche dal punto di vista economico, tanto per gli Stati quanto per i privati.

I rischi in caso di violazione del Regolamento sono molto elevati e sottovalutare gli obblighi previsti dal GDPR potrebbe costare ben caro alle imprese inadempienti.

Eventuali violazioni delle disposizioni del Regolamento, così come una sua applicazione inesatta o parziale, comportano infatti rilevanti conseguenze, sia sul piano economico sia su quello delle attività effettuate.

La tutela offerta dal Regolamento va applicata a tutte le informazioni riguardanti una persona fisica identificata o identificabile che si trova nel territorio europeo, mentre non tocca i trattamenti di informazioni relative alle persone decedute né alle persone giuridiche.