Lo scorso 4 settembre 2018 è stato pubblicato nella Gazzetta Ufficiale n. 205 il D.lgs. n. 101 del 10 agosto 2018, recante le disposizioni per l’adeguamento della normativa nazionale al Regolamento UE/679/2016 (G.D.P.R.) del 27 aprile 2016, in materia di protezione delle persone fisiche, ed in particolare di trattamento e libera circolazione dei loro dati personali. Il G.D.P.R. (General Data Protection Regulation) è divenuto direttamente applicabile sul territorio degli Stati membri dal 25 maggio, abrogando contestualmente alla sua entrata in vigore la Direttiva 95/46/CE: ciò ha reso necessario un veloce intervento del Legislatore italiano per adattare la normativa nazionale alla nuova disciplina in materia di privacy. La strategia adottata dal nostro Governo è stata quella di conservare il corpus del D.lgs.196/2003 (cosiddetto “Codice della Privacy”), adattandone i contenuti alla nuova normativa europea e abrogando le disposizioni in palese contrasto con il G.D.P.R.; questo approccio ha di fatto permesso di evitare l’abrogazione integrale del vecchio Codice Privacy, mantenendo una versione più ridotta ma, allo stesso tempo, più rispondente alle nuove esigenze degli utenti in materia di protezione dei dati personali. Le principali novità si registrano innanzitutto in materia penale, con l’abolizione del previgente art. 169 (“Misure di sicurezza”) per l’intervenuta eliminazione delle misure minime di sicurezza: nell’ambito poi delle fattispecie penalmente rilevanti, alla luce delle nuove – e particolarmente gravose – sanzioni di carattere amministrativo si è preferito limitare l’ambito di operatività delle figure criminose, al fine di evitare di incorrere nella violazione del principio del ne bis in idem. In materia di protezione dei minori è stato introdotto il nuovo articolo 2-quinquies che, richiamando l’art. 8, par. 1, G.D.P.R., ha esteso ai minori che abbiano già compiuto i 14 anni di età il diritto di esprimere validamente il proprio consenso al trattamento dei dati personali, limitatamente alla sola offerta diretta di servizi della società dell’informazione (per i minori di anni 14 resta ovviamente invariata la disciplina sul necessario consenso dell’esercente la potestà genitoriale).
Tra i principi generali introdotti dal nuovo decreto di adeguamento si registra il cosiddetto “obbligo di previsione normativa”: i trattamenti di particolari categorie di dati – che si rendano necessari per motivi di interesse pubblico – sono ammessi “qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonche’ le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”. In ossequio a detto principio, i diritti in materia di privacy dei singoli vengono altresì limitati in tutte quelle ipotesi in cui il trattamento delle informazioni personali debba rispondere a superiori esigenze, dotate di una specifica copertura normativa: tra queste vi rientrano le disposizioni in materia di antiriciclaggio (rilevanti ad esempio in materia di liste PEP – Persone Esposte Politicamente), di controllo dei mercati finanziari e monetari o quelle previste per ragioni di giustizia.
Ha invece portata innovativa il nuovo art. 2-terdecies, recante disposizioni sul trattamento dei dati di persone decedute: se da un lato le norme del G.D.P.R. non sono applicabili ai defunti, il Legislatore italiano ha al contrario ritenuto di dover estendere i diritti personalissimi (tra cui appunto il diritto all’immagine, al nome ed alla reputazione) anche alle persone decedute, attribuendone il concreto esercizio a chi abbia un interesse proprio, o agisca a tutela dell’interessato (in qualità di suo mandatario) o per ragioni familiari comunque meritevoli di protezione. Sul piano concreto, gli interessati possono esercitare i diritti in materia di privacy attraverso diversi strumenti di tutela per eliminare informazioni personali da Google. Innanzitutto è possibile proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali ai sensi del novellato art. 142, che ha sostituito il procedimento di ricorso prima disciplinato dall’art. 145: per la rimozione dei propri dati da internet sarà quindi sufficiente ricorrere al Garante contro i motori di ricerca (Google tra tutti) o, in alternativa, contro i singoli siti interessati. Avverso il provvedimento del Garante è sempre ammesso ricorso giurisdizionale.
In alternativa al reclamo appena descritto, i privati possono decidere di rivolgersi immediatamente al Tribunale territorialmente competente per chiedere, con ricorso avverso i motori di ricerca e/o i Titolari del trattamento dei siti interessati, la cancellazione dei dati illegittimamente trattati.
