Come in Italia, il GDPR è stato applicato a tutti gli Stati membri dell’Unione europea. Ma qual è la situazione in Europa? Diamo uno sguardo oltre il confine italiano ed approdiamo in Spagna.
Come noto, il Regolamento europeo è un atto vincolante ed è direttamente applicabile agli Stati europei. Rappresenta pertanto una tipica norma self-executing, cioè operanti senza atti di adattamento da parte degli ordinamenti statali. Tuttavia, ciascuna nazione ha provveduto mediante la propria legislazione ad uniformarsi al modello stabilito dal GDPR.
In Spagna è entrata in vigore la nuova Legge Organica sulla Protezione dei dati (Ley organica 3/2018 de Proteccion de Datos Personales y Garantia de Los Derechos Digitales) – LOPD), in sostituzione alla precedente Ley Organica 15/1999 de Proteccion de Datos de Caracter Personal.
Questa nuova normativa introduce delle novità rilevanti:
- Si applica sia alle persone fisiche che a quelle giuridiche, sia private che pubbliche, che dispongano di dati personali.
- L’informativa sulla privacy deve consentire ai cittadini di conoscere chiaramente e facilmente gli aspetti più importanti del trattamento, optando, nel campo di internet in particolare, per un sistema informativo a più livelli, accessibile attraverso un collegamento diretto.
- Viene introdotta l’obbligatorietà del consenso positivo ed espresso, pertanto dovrà derivare da una dichiarazione o azione chiara.
- Riconosce specificamente il diritto di accesso e, se del caso, la rettifica o la soppressione da parte di coloro che hanno legami con persone decedute – per ragioni familiari o di fatto e dei loro eredi – salvo che il defunto non lo abbia escluso espressamente.
- Per quanto riguarda i minori, il consenso può essere concesso autonomamente all’età di 14 anni. Regola inoltre espressamente il diritto di richiedere la cancellazione dei dati forniti ai social network o altri servizi della società dell’informazione dallo stesso minorenne o da terzi durante la sua minore età.
- Rinforza il sistema educativo al fine di assicurare la formazione degli studenti per un impiego sicuro e appropriato di Internet, compreso specificamente nei curricula accademici e richiedendo che gli insegnanti ricevano una formazione adeguata in questo settore.
- Disciplina il diritto all’oblio nei social network e nei servizi equivalenti della società dell’informazione.
- Prevede sistemi di reclamo interno anonimi, attraverso i quali un soggetto privato può essere informato degli atti o dei comportamenti contrari al regolamento. Questi sistemi sono essenziali affinché le persone giuridiche possano accreditare la necessaria diligenza per essere esenti da responsabilità penale.
- Impone alle aziende di proteggere i dati dei propri clienti e in nessun momento condividerli o filtrarli senza il consenso di questi, utilizzando una crittografia forte per la loro protezione.
- Aggiorna le garanzie del diritto alla privacy contro l’uso di dispositivi di videosorveglianza e la registrazione del suono sul posto di lavoro. Rafforza altresì le garanzie del diritto alla privacy in relazione all’uso dei dispositivi digitali messi a disposizione dei dipendenti, integrando la regolamentazione del diritto alla privacy anche sull’uso dei sistemi di geolocalizzazione sul posto di lavoro, di cui devono essere informati.
- Introduce la figura del Delegato per la protezione dei dati (“Delegado de proteccion de datos” – Data Protector Officer – DPO). È una figura obbligatoria nelle aziende e deve possedere la formazione necessaria al fine di evitare di incorrere in sanzioni pecuniarie molto elevate.
- Quanto agli obblighi giuridici occorre registrare i file nell’Agenzia spagnola per la protezione dei dati, preparare e tenere aggiornato il documento di sicurezza, ottenere il consenso soggetti titolari dei dati soggetti al trattamento.
Naturalmente le differenze tra le varie legislazioni europee ci sono, ma ciò può essere in gran parte conseguenza dei diversi modi con cui le autorità interpretano determinati concetti giuridici e il concetto stesso di privacy.
Ad ogni modo il Sito dell’Agencia Espanola de Proteccion de Datos (www.aepd.es) consente una consultazione di tutti i provvedimenti spagnoli sulla materia ed, in particolare, offre una sezione dedicata al Regolamento europeo.
VP
