A livello europeo a sostegno del diritto alla privacy troviamo il Regolamento UE 2016/679, il così detto GDPR, ovvero General Data Protection Regulation. Questo regolamento è relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione dei dati.
In Italia, il GDPR viene recepito come Decreto legislativo 2018/101. Tale decreto è possibile trovarlo come integrazione nel codice della privacy, ossia il Decreto legislativo 2003/196.
L’Autorità Garante per la Protezione dei dati personali è il soggetto giuridico con il compito di controllare che le norme sul diritto alla privacy vengano effettivamente applicate. È il soggetto a cui ci si deve rivolgere quando viene violata una norma in materia di privacy o di trattamento dei dati. Questa autorità non è il giudice o l’autorità giudiziaria, ma è un’autorità amministrativa.
Il diritto alla privacy è una disciplina applicabile alle sole persone fisiche. Al contrario, le persone giuridiche non possono invocare il diritto alla privacy, perché si pone in contrasto con le norme di trasparenza che imposte alle società dal Codice civile.
Definizioni del diritto alla privacy
All’articolo 4 del GDPR troviamo alcune definizioni utili per comprendere il linguaggio giuridico utilizzato nel diritto alla privacy:
- «interessato» (data subject): persona fisica a cui si riferiscono i dati personali
- «titolare del trattamento» (Data controller): soggetto/i che decide le finalità e le modalità del trattamento. Esso deve avere tali requisiti: indipendenza, autorevolezza e competenze manageriali.
- «responsabile del trattamento» (Data processor): il soggetto, dipendente o terzo, che tratta i dati per conto del titolare del trattamento
- «trattamento»: «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione»
Distinzione da dato personale a dato sensibile:
Una distinzione molto importante si fa tra:
- «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile, ovvero l’«interessato». Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come nome, numero di identificazione, dati relativi all’ubicazione, identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale e sociale.
- «dati sensibili»: dati di carattere personale che rivelano l’origine razziale, le opinioni politiche, le convinzioni religiose o altre convinzioni, informazioni riguardanti la salute o la vita sessuale. È un sottoinsieme più ristretto del dato personale. Questi dati sono soggetti ad un regime giuridico più stringente ai fini del loro trattamento.
Principi generali sull’utilizzo dei dati personali
All’articolo 5 del GDPR sono elencati i principi generali da rispettare per utilizzare i dati personali:
- Liceità, correttezza e trasparenza. Se gli utenti del web danno il consenso all’utilizzo dei dati per attività di marketing, questi dati devono esser utilizzati in modo lecito, con correttezza e trasparenza. Il consenso deve essere esplicito, può esser sempre ritirato e nel caso di minori il consenso deve essere firmato da genitore o tutore.
- Limitazione delle finalità. I dati possono essere utilizzati solo per una finalità specifica e determinata che per altro dev’essere precisata nel modulo di acquisizione del consenso.
- Minimizzazione dei dati. L’utilizzo dei dati deve essere pertinente con la finalità specifica prevista nella richiesta di consenso. Quindi non posso acquisire il consenso al trattamento (es. numero di telefono) per una determinata attività (es. promozionale per un determinato prodotto) e poi invece utilizzarlo per fornirlo a dei siti (es. siti di incontri).
- Esattezza dei dati. C’è sempre il diritto dell’interessato a correggere o aggiornare i dati nel caso in cui cambiassero.
- Limitazione della conservazione. Ci deve sempre essere nella richiesta di consenso un termine previsto di conservazione dei dati. Il termine è coerente con la finalità per cui il trattamento del dato è richiesto.
- Integrità e riservatezza. Chi acquista il diritto attraverso il rilascio del consenso al trattamento si obbliga a conservarli in modo corretto e sicuro.
I diritti dell’interessato una volta rilasciato il concetto
- Diritto di «chiarezza»
- Diritto di accesso ai propri dati. Può essere richiesto di vedere e magari rettificare o aggiornare i propri dati in qualsiasi momento
- Diritto di rettifica.
- Diritto all’oblio. Ovvero è il più importante ed è il diritto ad essere dimenticato nonostante abbia dato in un primo momento il consenso.
- Diritto alla portabilità. L’interessato ha diritto ha spostare i propri dati da un titolare del trattamento all’altro.
Tutela a livello internazionale del diritto alla privacy e al trattamento dei dati
Principio dell’approdo sicuro è fissato nel Regolamento Europeo. Praticamente consente la circolazione dei dati anche fuori dall’UE, ma il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso solo se tali paesi e tali organizzazioni garantiscono un livello di protezione adeguato.
All’interno dell’UE viene designato un ‘Rappresentante del titolare non UE del trattamento’. Questo avviene quando il ‘titolare del trattamento’ e il ‘responsabile del trattamento’ sono soggetti fuori dall’UE vogliono prendere i dati a soggetti UE per la loro profilazione.
Il soggetto UE ha il diritto che i suoi dati vengano trattati nel rispetto delle regole comunitarie, poiché da un paese all’altro le regole non sono uniformi.
Questo rappresentate è una sorta di intermediario che permette all’azienda straniera di non incombere in controversie a causa di disattenzioni verso il diritto alla privacy.
Per saperne di più sul diritto
La prossima settimana sulla nostra rivista inizierà una rubrica per spiegare meglio il diritto alla concorrenza.
Se vuoi commentare i nostri contenuti con la nostra community, iscriviti al gruppo Facebook EcommerceCommunity.it e facci sapere cosa ne pensi.