I nuovi principi e diritti introdotti con il GDPR

Oltre alla valutazione d’impatto sulla privacy, il GDPR introduce altri principi innovativi volti a rafforzare la sicurezza informatica e a garantire la tutela dei diritti dei soggetti interessati al trattamento dei dati personali:

1) Privacy by design → l’art.25 del Regolamento introduce il principio della “privacy by design”, ossia della protezione dei dati fin dalla progettazione del trattamento. Con questo principio il Regolamento vuole sottolineare l’importanza della tutela dei dati sensibili non solo nella fase di concreta attuazione del trattamento, bensì fin dalla sua progettazione, in modo da ridurre i rischi potenziali derivanti dal trattamento stesso in termini di privacy e sicurezza. Questo significa che l’inizio del trattamento deve coincidere con la contestuale nascita di un adeguato sistema di protezione dei dati personali. La “privacy by design” può essere considerata dunque un primo passo importante verso gli obiettivi di cybersecurity per tutte le aziende, comprese le banche, che possono mettere in atto

81

delle misure preventive di sicurezza al fine di proteggere i propri clienti e garantire la riservatezza dei dati personali. Anche in questa circostanza torna ad affermarsi il concetto di “responsabilizzazione” del titolare del trattamento, il quale deve predisporre le azioni necessarie a dimostrare la conformità delle sue azioni al principio della “privacy by design”.

2) Privacy by default → l’art.25 del GDPR sancisce il principio della “privacy by default”, cioè della protezione per impostazione predefinita. Tramite il concetto di “privacy by default” il Regolamento vuole imporre al titolare del trattamento di utilizzare solamente i dati personali necessari e coerenti con gli scopi del trattamento; inoltre, viene previsto un limite temporale per l’utilizzo dei dati personali, che deve essere circoscritto al tempo utile per raggiungere l’obiettivo del trattamento. L’applicazione di tale principio consente infine di vietare l’accesso a determinati dati personali da parte di persone fisiche tramite l’intervento di strumenti tecnologici.

3) Diritto alla portabilità dei dati → l’art.20 del GDPR introduce il diritto alla portabilità dei dati, attraverso cui si vuole sollecitare gli interessati ad esercitare un’attività di monitoraggio sui propri dati personali; inoltre, con l’esercizio di questo diritto viene data la possibilità all’interessato di trasmettere i propri dati sensibili da un titolare all’altro senza ostacoli.

Vediamo adesso quali sono in dettaglio le caratteristiche principali del diritto alla portabilità dei dati82:

a) Il diritto di ricevere dati personali → innanzitutto, la portabilità dei dati garantisce agli interessati il diritto di ricevere i dati sensibili che essi hanno fornito al titolare del trattamento.

b) Il diritto di trasmettere dati personali da un titolare del trattamento ad un altro → il comma 2 dell’art.20 garantisce all’interessato il diritto di trasmettere direttamente i propri dati personali da un titolare ad un altro su propria richiesta, precisando che ciò può accadere solo nei casi in cui sia “tecnicamente fattibile”. Questo aspetto è importante in quanto tramite tale disposizione si impedisce ai titolari attuali del trattamento di ostacolare la

82 _{Gruppo di lavoro articolo 29 per la protezione dei dati, “Linee guida sul diritto alla portabilità dei dati”,}

82

volontà dell’interessato di passare ad un altro titolare che tratterà in futuro i suoi dati personali.

c) Il diritto alla portabilità e gli altri diritti degli interessati → l’esercizio del diritto alla portabilità dei dati non pregiudica nessuno degli altri diritti. In particolare, il comma 3 dell’art.20 afferma che l’esercizio del diritto alla portabilità dei dati non pregiudica il diritto all’oblio (ossia il diritto alla cancellazione dei dati). Infine, il comma 4 chiarisce che l’esercizio del diritto alla portabilità dei dati non deve in alcun modo ledere i diritti e le libertà altrui, quindi anche in tale circostanza viene ribadita la compatibilità tra il diritto sancito dall’art.20 del GDPR e i diritti e libertà fondamentali dell’interessato. Il comma 1 dell’art.20 del Regolamento specifica che, affinché si possa applicare il diritto alla portabilità dei dati, il trattamento deve possedere due requisiti: il trattamento deve basarsi sul consenso dell’interessato o su un contratto di cui è parte l’interessato e deve essere effettuato con mezzi automatizzati, ossia con strumenti tecnologici.

L’art.20 del GDPR delimita l’ambito di applicazione del diritto alla portabilità a quei dati che riguardano esclusivamente l’interessato, ossia ai dati personali, i quali forniscono informazioni su caratteristiche, abitudini, stile di vita, situazione economica della persona fisica.

Un’altra peculiarità che devono possedere i dati per poter essere “portabili” è che questi dati devono essere “forniti” consapevolmente dall’interessato al titolare del trattamento. Le Linee guida sul diritto alla portabilità dei dati citano come esempi di dati forniti dall’interessato l’indirizzo postale, l’età, il nome utente, ma anche la cronologia delle ricerche effettuate dall’interessato e le registrazioni delle attività svolte.

4) Diritto all’oblìo → l’art.17 del nuovo Regolamento introduce il diritto all’oblìo, ovvero il diritto alla cancellazione dei dati personali. In particolare, l’articolo prevede che l’interessato può esercitare tale diritto in alcuni casi:

- quando i dati personali non sono più necessari rispetto allo scopo per il quale sono stati trattati;

- quando l’interessato revoca il consenso; - quando l’interessato si oppone al trattamento; - quando i dati vengono trattati in modo illecito.

Se si verifica uno dei presupposti di cui sopra, il cliente ha il diritto di chiedere la cancellazione dei dati che lo riguardano alla banca che ne fa uso.

83

5) Consenso dell’interessato → il consenso dell’interessato consiste nell’autorizzazione di quest’ultimo riguardo ad un determinato trattamento dei dati personali. Il GDPR definisce il consenso dell’interessato all’art.4 nel modo seguente: “qualsiasi manifestazione di volontà libera, specifica, informata e

inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto del trattamento”. Dunque in base a tale

definizione l’interessato dovrà manifestare il proprio consenso in maniera esplicita ed inequivocabile, tramite una dichiarazione scritta o un’azione positiva, prima che il titolare proceda ad eseguire il trattamento dei dati personali. Il consenso è perciò necessario perché il trattamento sia considerato lecito (art.6 GDPR). L’art.7 prescrive le condizioni per il consenso, precisando che nel caso in cui esso venga prestato mediante una dichiarazione scritta, la richiesta di consenso deve presentarsi con un linguaggio semplice e chiaro ai fini della sua validità. Lo stesso articolo puntualizza al comma 3 che l’interessato ha il diritto di revocare il consenso in ogni momento senza alcun ostacolo e che la revoca deve avvenire con la stessa facilità con cui l’interessato ha accordato il proprio consenso al trattamento.

6) Diritto di accesso → si tratta di un altro diritto “chiave” garantito nell’ambito della protezione dei dati personali e disciplinato dall’art.15 del GDPR, che prevede in ogni caso il diritto di ricevere da parte del titolare del trattamento una copia dei dati personali oggetto del trattamento stesso. Lo stesso articolo richiede al titolare di fornire l’accesso a determinate informazioni da parte dell’interessato, come ad esempio le finalità del trattamento, le categorie di dati personali trattate, i destinatari a cui le categorie di dati personali sono comunicati, il periodo di conservazione dei dati, etc.

Tutti questi diritti passati in rassegna incidono notevolmente sul settore bancario: si tratta di una vera e propria rivoluzione degli adempimenti sulla privacy per tutte le imprese e gli istituti bancari operanti in Europa.

L’introduzione di nuovi diritti volti a tutelare i clienti contribuiranno ad aumentare la loro fiducia negli istituti di credito, negli ultimi anni venuta meno a seguito dell’aumento degli attacchi informatici e della diffusione del cyber risk; tuttavia, anche le banche potranno trarre beneficio dalla compliance alla nuova normativa sulla privacy, investendo in sicurezza e facendosi trovare pronte dinanzi alla nuova sfida della cybersecurity.

84