Privacy, verso il nuovo sistema di gestione dei dati sensibili

E’ di tutta evidenza che la portata della condivisione e della raccolta di dati personali è aumentata in modo significativo, grazie alla rapidità dell'evoluzione tecnologica ed alla globalizzazione che hanno portato son sé nuove sfide per la protezione dei dati personali.

La tecnologia attuale che consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività dovrebbe facilitare ancora di più la libera circolazione dei dati personali all'interno dell'Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati  che le persone fisiche rendono disponibili al pubblico su scala mondiale. 

Tale evoluzione, tuttavia,  richiede un quadro più solido e coerente in materia di protezione dei dati nell'Unione, affiancato da efficaci misure di attuazione, data l'importanza di creare il clima di fiducia che consentirà lo sviluppo dell'economia digitale in tutto il mercato interno; conseguentemente appare  opportuno intervenire  affinché le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.

Diamo uno sguardo, a volo d’uccello, sui contenuti del  Nuovo Regolamento Europeo ( 27 aprile 2016, n 679 GDPR - General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che Il 25 maggio 2018 diventerà applicabile, in tutti gli Stati membri, mentre sono in itinere  i lavori preparatori del decreto legislativo di adeguamento della normativa nazionale.

Il testo sancisce espressamente  il  rispetto di  tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

Il trattamento dei dati personali – vi si legge - dovrebbe essere al servizio dell'uomo; in questo ambito,il diritto alla protezione dei dati di carattere personale non è inteso quale  prerogativa assoluta, ma  considerato alla luce della sua funzione sociale e  contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.

Tanto premesso, in via generale  ed astratta per i singoli, cosa prevedono le nuove disposizioni per le imprese che sono i più significativi fruitori del mercato globale dei dati personali?

 

Ecco i core points del nuovo Regolamento:

  1. Mettere a punto processi interni delle imprese (o degli Enti o di tutti coloro che trattano dati personali) che, partendo da una valutazione dei rischi sull’utilizzo dei dati stessi, possa mettere in atto sistemi di tutela ad hoc;
  2. responsabilizzare dei titolari del trattamento dati (c.d. accountability).

 

In tema di accountability, è’interessante notare che nella responsabilizzazione del titolare, rientra  il compito di effettuare, anche tramite il Data Protection Officer (ove nominato) o attraverso un responsabile interno, la valutazione dei rischi del trattamento dei dati, l’attuazione delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, la redazione del registro dei dati. Ecco perché si può parlare di Privacy by design, per definire un trattamento dati pienamente  ottemperante al Regolamento, e di Privacy by default, per intendere  di aver comunque adottato tutti gli strumenti tecnologici per proteggere il dato.

E ancora, sullo stesso tema. Nelle realtà imprenditoriali, sarà il cd  il titolare ad effettuare le valutazioni del caso , per utilizzare i dati necessari di ciascun dipendente unicamente per le specifiche finalità previste dal trattamento oggetto di informativa e consenso. Nasce l’obbligo, per alcune realtà imprenditoriali, di dotarsi  di un Responsabile della protezione dei dati (RPD)/Data Protection Officer (DPO), ossia di una figura specializzata che assicuri la corretta gestione delle informazioni.

Occorre, inoltre,  mettere in evidenza come  nell’intento di innalzare la responsabilizzazione degli attori coinvolti, il sistema verrà semplificato con la caducazione di alcuni oneri amministrativi, quali quelli di notificazione anticipata di particolari trattamenti al Garante, a fronte della conferma della vigenza di  alcune delle precedenti previsioni (l’obbligo di informativa, il consenso dell’interessato).

Trasformare i titolari del trattamento dei dati da soggetti di prescrizioni , ad attori consapevoli della valutazione di ogni singola realtà operativa  dei rischi di ogni singolo trattamento allo scopo di  attuare i sistemi di sicurezza adeguati alla tutela di tali dati, garantendone la confidenzialità, l’integrità e la disponibilità.

Si tratta di un passaggio e di un mutamento significativi che gli atti di recepimento ed adeguamento normativo dovranno compiutamente esprimere, con l’avvertenza che data la genericità delle articolazioni normative di molti  degli istituti descritti nel Regolamento , resta demandato alle Autorità di controllo degli Stati membri – anche congiuntamente a livello europeo – la facoltà di esprimersi con specifici interventi che dovranno poi essere trasfusi negli atti di recepimento nazionale, precisando la natura, ed i contenuti dei nuovi istituti.


Allegati