Regolamento 2016/679 GDPR, il punto sulle novità

| 26/11/2018 16:38

Commento a cura dell'Avv. Monica Rachele Carrettoni, AL Assistenza Legale Milano - Conciliazione


Il Regolamento 2016/679 GDPR, divenuto pienamente efficace e applicabile a partire dal 25.5.18, si pone come assoluta novità rispetto al passato per l'approccio più dinamico e la gestione preventiva del sistema di protezione dei dati personali (per "dato personale" deve intendersi qualsiasi informazione riguardante una persona fisica identificata o identificabile: non solo quindi il nome, ma ad es. un identificativo online (l' IP) che permetta di risalire a una persona determinata).


Rispetto alla precedente normativa, il recente Regolamento 2016/679 GDPR segna una svolta, dato che ha voluto "responsabilizzare" titolari e responsabili del trattamento, chiedendo agli stessi comportamenti pro-attivi che dimostrino l'adozione di misure finalizzate ad assicurare l'applicazione della normativa stessa.


La novità introdotta dal Regolamento 2016/679 GDPR è quella quindi di dettare dei criteri, lasciando a titolari e responsabili la discrezionalità (e la conseguente responsabilità) sulla scelta delle modalità operative e delle garanzie per trattare e proteggere i dati personali; ciò, in base a un'analisi preventiva della tipologia dei dati stessi (ad es. il discrimen fra dati personali generali, dati particolari personali oppure dati personali correlati a reati o condanne penali sarà determinante) e delle finalità del trattamento (ad es. il livello di protezione dei dati personali dovrà essere molto più stringente se il trattamento dei dati è effettuato con sistema automatizzato attraverso "profilazione" piuttosto che per adempiere a richieste dell'interessato).
Pertanto, il Regolamento 2016/679 GDPR ha introdotto un approccio innovativo: occorre partire da un'analisi e da una classificazione preventiva dei dati trattati (attraverso ad es. audit, integrazione dei processi organizzativi, ecc.), per poi passare all'identificazione e alla valutazione dei rischi ed infine alla trattazione di detti rischi, individuando gli adempimenti concreti, in base alle peculiarità precedentemente analizzate.


Proprio in tale logica, il Regolamento 2016/679 GDPR ha introdotto il c.d. principio dell'"Accountability", secondo cui il titolare del trattamento ha l'obbligo di mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali è effettuato conformemente al regolamento (es. tramite la valutazione di impatto, la tenuta del registro dei trattamenti, l'adozione delle misure di sicurezza, procedure standardizzate in caso di violazioni dei dati personali, la nomina e la contrattualizzazione dei responsabili esterni e di un DPO); sulla stessa onda, è stato introdotto il principio della "Privacy By Design" secondo cui, occorre attuare la normativa, sin dalla fase di progettazione dei sistemi che permettono il trattamento dei dati personali, attraverso lo studio e la classificazione dei dati trattati per natura, finalità, durata, ecc.; parimenti, il principio della "Privacy By Default" prescrive che siano raccolti solo i dati strettamente utili alla realizzazione delle finalità perseguite e solo per il tempo necessario a ciò (per cui l'informativa fornita agli interessati dovrà essere più estesa e puntuale, specificando le finalità e la durata del trattamento e dovrà essere modificata nel caso di intervenute variazioni).


Conseguentemente, l´intervento delle autorità di controllo sarà principalmente "ex post", ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare e ciò spiega l'introduzione degli obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia
Per comprendere la ratio di tale inversione di approccio, occorre considerare che il Regolamento 2016/679 GDPR è correlato alla tutela dei dati personali di persone fisiche, ovvero di un "bene" destinato alla "libera circolazione", in un mercato senza barriere e in cui l'evoluzione tecnologica, proprio per l'aumento del rischio di perdita di dati che essa genera, è chiamata a svolgere un ruolo preventivo chiave.


Diritto e tecnologia costituiscono pertanto un binomio indissolubile che appalesa una nuova sinergia che si viene ad instaurare tra i dispositivi della tecnica e la tutela dei dati personali.
Per citare degli esempi si pensi al c.d. diritto all'oblio, con cui viene riconosciuto in capo al singolo individuo la facoltà (art. 17, regola di diritto) di chiedere la rimozione (tecnologia) di informazioni personali a lui riferite, ma la cui diffusione attraverso i sistemi informativi, non siano più desiderate e si vogliano cancellare. Ed ancora, per attuare il sopraccitato principio della "Privacy By Default", per cui è legittima la raccolta di solo quei dati strettamente necessari al perseguimento dello scopo dichiarato (art. 25, regola di diritto), occorre conformare gli strumenti tecnologici ex ante.


Sotto questo aspetto, il Regolamento ha il pregio di ricondurre in un ambito di imprescindibile interazione l'innovazione tecnologica e la tutela dei dati personali, anche se il rischio di sbilanciamenti a favore dell'acquisizione/circolazione dei dati rispetto alle prerogative dei soggetti interessati è "agli onori di cronaca"; per tale motivo, si rimane in attesa delle necessarie integrazioni e modifiche alla luce dell´evoluzione della riflessione a livello nazionale ed europeo.