Il 25 maggio 2018 entra in vigore, dopo due anni, il Regolamento UE n. 2016/679 (noto come GDPR – General Data Protection Regulation) in tema di tutela della privacy.

A livello nazionale, sebbene non sia stato necessario alcun atto di recepimento (essendo il Regolamento, come noto, un atto tipico dell’Unione Europea direttamente vincolante per i cittadini), l’articolo 13 L. 163/2017 ha delegato il Governo ad adottare uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del richiamato Regolamento.

Analizziamo le disposizioni previste dal nuovo Regolamento privacy, con particolare riferimento agli aspetti generali.

L’articolo 1 del Regolamento, rubricato “Oggetto e finalità” precisa che ad essere protetti sono solo i diritti e le libertà fondamentali delle persone fisiche; il Regolamento non trova quindi applicazione quando i dati si riferiscono ad una persona giuridica.

Il Regolamento trova inoltre applicazione esclusivamente nell’ambito delle attività commerciali e professionali; al contrario, non è necessario rispettare le disposizioni che andremo ad analizzare quando il trattamento dei dati è effettuato da una persona fisica in ambito personale o domestico.

Il Regolamento si occupa, all’articolo 4, degli aspetti definitori, chiarendo che “dato personale” è “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

L’articolo 5 sui “Principi applicabili al trattamento di dati personali”) stabilisce che i dati personali devono essere:

1. trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
2. raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
4. esatti e, se necessario, aggiornati; devono quindi essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
5. conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
6. trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Ai sensi dell’articolo 6, il trattamento è lecito solo se l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità oppure:

1. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte;
2. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
3. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
4. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
5. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.

Tranne qualche piccola differenza si può ritenere che vi sia una sostanziale continuità tra le ipotesi di liceità del trattamento previste dal codice privacy e quelle richiamate dal Regolamento.

Nel caso in cui il trattamento riguardi dati sensibili, l’articolo 9 richiede che l’interessato presti il suo consenso “esplicito”.

Come pare evidente il consenso non deve essere fornito per iscritto, sebbene la forma scritta sia l’unica a garantirne l’inequivocabilità.

Con specifico riferimento agli intermediari fiscali, i dati sensibili con i quali questi ultimi più frequentemente si confrontano sono, ad esempio, le scelte per la destinazione dell’8 del 5 e del 2 per mille; in tali casi “il consenso viene acquisito attraverso la sottoscrizione della dichiarazione e con la firma apposta per la scelta dell’otto per mille dell’Irpef, del cinque per mille e del due per mille dell’Irpef”.

Alcune semplici conclusioni per le attività economiche e professionali:

–> solitamente non trattano “dati sensibili”;

–> rientra nei casi in cui il “trattamento è necessario per l’esecuzione del contratto” e vi è “l’adempimento di un obbligo legale” qual’è la tenuta della contabilità;

–> il consenso “non deve essere fornito per iscritto”

(fonte: www.ecnews.it)