gdpr-protection-business-regulation-general-3240283

Protezione dei dati personali, cambiamenti alle porte

Riforma si è recentemente occupata della protezione dei dati personali all’indomani del caso scoppiato per l’utilizzo illecito da parte della società Cambridge Analitica dei dati personali recuperati da Facebook (Se internet finisce nella sua stessa rete, n. 12 2018).

Dal prossimo 25 maggio in tutti i paesi europei diventerà applicativo il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, comunemente noto con l’acronimo GDPR che sta per General Data Protection Regulation.

Il regolamento abroga la direttiva 1995/46/CE ed è direttamente applicabile negli stati membri che hanno avuto ben due anni di tempo per adeguare le proprie normative nazionali. Solo 4 paesi (Austria, Germania, Slovacchia e Svezia) su 28 hanno adottato “una legislazione nazionale” che recepisce le norme previste dal Regolamento – ha dichiarato il 14 maggio a Berlino la Commissario Ue alla Giustizia Vera Jourova – gli altri sono ancora fermi in stadi diversi della procedura di recepimento. Purtroppo l’Italia è tra questi. Circa un mese fa era circolata la bozza di un decreto che avrebbe abrogato e sostituito l’attuale Codice per la protezione dei dati personali (Dlgs 196/2003), poi sembra sia prevalsa la scelta di procedere con un decreto di modifica ed integrazione che ancora non è stato pubblicato. Ad ogni modo gli esperti in materia giuridica concordano nell’affermare che dal 25 maggio il Regolamento si applica direttamente in tutti i paesi UE.

Perché è importante tornare sull’argomento delle protezione dati personali in prossimità di questa importante scadenza? Almeno per tre ragioni che sono velocemente richiamate nello spot TV preparato dal Garante privacy e visibile via internet su  https://www.youtube.com/watch?v=irsR4tb-eiw.

La prime due riguardano la filosofia completamente diversa che sta alla base del Regolamento, tutela dei diritti e principio di responsabilità, la terza è la sua portata che include tutte le categorie di soggetti che trattano dati personali, privati e pubblici.

Già nel primo «considerando» viene premesso che la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. Questo principio discende direttamente dalla Carta dei diritti fondamentali dell’Unione europea (Art. 8, par. 1) e dal trattato sul funzionamento dell’Unione europea (Art. 16, par.1) che stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Partendo da questi principi il GDPR si propone di creare uno spazio di libertà, sicurezza e giustizia e il primo Articolo precisa ne fissa lo scopo del Regolamento: protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
Per «dato personale» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). I nuovi diritti stabiliti a tutela degli interessati riguardano l’accesso, la rettifica, la cancellazione-oblio (p.e. se i dati non sono più necessari alle finalità a suo tempo indicate), la limitazione del trattamento, l’opposizione al trattamento, la portabilità dei propri dati (trasferire o trasmettere i propri dati, forniti ad un titolare del trattamento, ad altro titolare senza impedimenti da parte del primo), il diritto di revocare il proprio consenso in qualsiasi momento.

L’altro pilastro su cui si fonda il GDPR è il principio di Accountability: tradotto in italiano con «responsabilizzazione». Il titolare del trattamento ha l’obbligo di comprovare di aver effettuato il trattamento dei dati in ottemperanza ai principi esposti nell’Art.5 (liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati trattati in base a criteri di pertinenza e adeguatezza, esattezza, integrità e riservatezza, limitazione della conservazione) e di dimostrare di aver adottato tutte le misure tecnologiche e organizzative adeguate di protezione dei dati. Nel caso in cui si verifichi una violazione (data breach) il titolare ha l’obbligo di notificare l’avvenuta violazione all’autorità di controllo (Garante privacy) entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che non sia in grado di dimostrare che è improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati. A seguito dell’accertamento di violazioni del rispetto del Regolamento le autorità di controllo possono infliggere sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente.

Infine, la portata del Regolamento è in pratica totale poiché si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio mentre territorialmente si applica indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. Dunque comprende ogni persona fisica o giuridica, autorità pubblica, servizio o altro organismo (titolari) che, singolarmente o insieme ad altri contitolari e responsabili esterni (coloro che trattano dati personali per conto del titolare del trattamento), determina le finalità e i mezzi del trattamento di dati personali. Le organizzazioni religiose sono escluse dal «divieto di trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose» (Art.9, comma 1) a condizione che il trattamento sia «effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie» e che «i dati personali non siano comunicati all’esterno senza il consenso dell’interessato».

Diritti e principio di responsabilità costituiscono per l’Italia uno scenario assai innovativo. Non più «misure minime» ed insiemi di prescrizioni da rispettare più o meno formalmente e che nelle Pubbliche Amministrazioni sovente vengono diluite in lunghe e frammentate catene di deleghe e incarichi, ma l’obbligo di mettere in atto un insieme di azioni non solo tecniche ma prevalentemente organizzative a cominciare dalla formazione continua, l’attitudine al monitoraggio costante e l’adeguamento dei processi gestionali. Un’impostazione che denota una forte impronta nord europea molto legata al protestantesimo storico, l’affiorare dei principi di quell’etica protestante della quale purtroppo nel nostro Paese anche gli osservatori più accreditati di solito forniscono una lettura quasi in negativo, un po’ per malevolenza e molto per ignoranza. Speriamo che l’Italia sia in grado di cogliere questa occasione per acquisire una maggiore consapevolezza dei diritti e avviare una crescita culturale nella tutela dei diritti inerenti il trattamento dei dati personali che proprio perché fondata sul principio di responsabilità potrebbe avere un effetto positivo sia nel settore privato che in quello pubblico.