Codice in materia di protezione dei dati personali
Il GDPR ha come finalità espressa la protezione dei diritti e delle libertà fondamentali delle sole persone fisiche, e si applica a trattamenti di dati automatizzati (interamente o parzialmente) e non automatizzati.
L'ambito di applicazione territoriale del GDPR, inoltre, viene molto esteso rispetto a quello della precedente Direttiva 95/46/CE. Il GDPR si applica infatti a qualsiasi trattamento di dati effettuati da titolari o responsabili stabiliti nel
territorio dell'Unione Europea, indipendentemente dal fatto che il trattamento venga eseguito poi al di fuori di questo perimetro geografico. La tutela del GDPR è rivolta a tutte le persone che si trovino nell’UE
(indipendentemente dalla loro cittadinanza-residenza) e siano destinatari di offerte di prodotti o servizi, o i cui comportamenti, tenuti all’interno dell’UE, siano oggetto di monitoraggio. Infine, il GDPR si applica ai trattamenti
di dati effettuati da Titolari stabiliti in qualsiasi luogo soggetto, in virtù del diritto internazionale pubblico, al diritto di uno Stato Membro UE.
Qualora il GDPR si applichi ad un Titolare o Responsabile non stabilito nell’UE, vi è l’obbligo di designazione di un rappresentante in Europa.
Il trattamento del consenso
Pur permanendo sostanzialmente invariato l’impianto della Direttiva 95/46/CE per quanto riguarda la centralità dei principi fondamentali del trattamento e dei diritti degli interessati, il GDPR introduce degli elementi di novità che rafforzano la tutela per gli interessati:
- Informativa: il contenuto minimo dell’informativa, i tempi e le modalità con cui deve essere resa sono ora espressamente e tassativamente elencati nel GDPR;
- Consenso: deve essere libero, specifico, informato ed inequivocabile (e, solo per i dati sensibli, anche esplicito). Non è più ammesso il consenso rilasciato attraverso caselle preselezionate su un modulo, in quanto deve essere espresso mediante "dichiarazione o azione positiva inequivocabile" (pur non essendo necessaria la forma scritta);
- Diritti: il GDPR introduce, accanto ai diritti già riconosciuti agli interessati, il diritto all'oblio (ossia di cancellazione “estesa” di tutti i dati personali), il diritto di limitazione del trattamento ed il diritto alla portabilità dei dati. In via generale, il GDPR prevede anche l’obbligo per il Titolare di agevolare l’esercizio dei diritti da parte degli interessati.