Indice:
- Precisazioni terminologiche
- Il GDPR (General Data Protection Regulation)
- Perché la Privacy è misconosciuta?
- Le politiche del titolare del trattamento
- Le competenze necessarie
1. Precisazioni terminologiche
Nel nostro Ordinamento vi sono ancora particolari settori che, evidentemente, non costituiscono un’attrattiva per gli operatori del Diritto.
Tra questi, sembra potersi annoverare la Privacy o, meglio, la Data Protection (Protezione dei Dati). Infatti, quando parliamo di Privacy, non intendiamo riferirci soltanto al diritto alla riservatezza, i.e. al diritto fondamentale a non subire interferenze nella propria vita privata[1], al diritto ad essere lasciato solo (the right to be let alone).
Invero, bisogna chiarire che il termine “Privacy” è riduttivo e, solo convenzionalmente, continua ad essere usato per definire un intero ecosistema che ha come oggetto di tutela una galassia di diritti e libertà fondamentali, primo fra tutti il diritto alla Protezione dei Dati Personali (Data Protection) che qualifica il particolare corpus normativo introdotto con il Regolamento (UE) 2016/679 noto con l’acronimo GDPR (General Data Protection Regulation = Regolamento Generale sulla Protezione dei Dati).
2. Il GDPR (General Data Protection Regulation)
Il GDPR è stato emanato il 27 aprile 2016 per realizzare 2 macro-finalità[2].
La prima è costituita dall’esigenza di dettare una disciplina uniforme in tutti gli Stati dell’Unione Europea per garantire e tutelare i diritti fondamentali fissati nella Carta dei Diritti Fondamentali dell’UE (c.d. Carta di Nizza).[3]
L’altra finalità, non meno importante, è quella di garantire la libera circolazione di dati personali. Si consideri che i dati personali sono oggi il nuovo petrolio, la materia prima che viene utilizzata per nutrire, per allenare i sistemi di intelligenza artificiale che attualmente costituiscono il più importante fattore produttivo nonché il volano principale dell’economia mondiale. In tale contesto il GDPR è quindi volto a creare un clima di fiducia che induca le persone a concedere serenamente i loro dati, alimentando così il sistema economico europeo che si candida a diventare, nei prossimi decenni, baricentro dell’economia mondiale[4].
3. Perché la Privacy è misconosciuta?
Eppure, dopo più di 6 anni, in Italia, ancora non vi è una consapevolezza diffusa dell’importanza etica, giuridica e strategica del GDPR.
Per quali motivi una materia così nobile è misconosciuta?
Forse una risposta potrebbe essere trovata facendo riferimento al “mindset” degli operatori giuridici italiani, i quali sono abituati a studiare il diritto con l’approccio mentale volto al formale adempimento delle norme giuridiche. E’ il paradigma a cui tutti gli studiosi del diritto sono stati abituati: si studiano le norme, si individuano i precetti e le sanzioni che devono poi essere applicati ai casi concreti.
Orbene, un tale approccio, nell’ecosistema della Privacy/Data Protection, non funziona affatto, semplicemente perchè il GDPR non contiene precetti ma pone invece un “framework normativo” i.e. un insieme di principi fondamentali e di requisiti che sono meramente stabiliti, senza alcuna indicazione su come debbano essere applicati o soddisfatti.
Pertanto, ogni Organizzazione, pubblica o privata che sia, determinando finalità e mezzi dei trattamenti di dati personali, assume il ruolo privacy di “titolare del trattamento”, e, come tale, è chiamata a scrivere le regole, al proprio interno, definendo “politiche interne”[5] le c.d. “policies”, con l’obbligo di essere sempre “accountable”, i.e. in grado di “comprovare” il pieno rispetto dei principi che presidiano tutto il sistema della protezione dei dati (è il c.d. “principio di accountabiliy”[6]).
Consigliamo l’ebook:
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
9.90 € 8.42 €
4. Le politiche del titolare del trattamento
Ogni titolare del trattamento – impresa o pubblica amministrazione che sia – è quindi “Legislatore privacy di sè stesso” e deve allestire responsabilmente un “Modello Organizzativo Privacy”, adottando misure tecniche e misure organizzative adeguate per garantire il rispetto delle disposizioni del GDPR.
Al fine di poter dimostrare la conformità (c.d. compliance) con lo stesso GDPR, ogni titolare del trattamento dovrebbe almeno:
- attribuire precisi ruoli e responsabilità ad ogni entità dell’Organizzazione che concorre a realizzare gli obiettivi di business trattando dati personali[7];
- disegnare processi aziendali che siano perfettamente allineati ai principi fondamentali della protezione dei dati, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso[8] (in applicazione del principio di privacy by design);
- garantire un livello di sicurezza dei trattamenti che sia adeguato ai rischi per i diritti e libertà fondamentali delle persone fisiche[9];
- definire specifiche procedure per la gestione delle richieste di esercizio dei diritti privacy e per la gestione dei “Data Breaches”;
- curare che i dati personali raccolti siano trasferiti fuori dallo Spazio Economico Europeo solo rispettando le condizioni fissate nel Capo V del GDPR.
5. Le competenze necessarie
Si tratta evidentemente di attività complesse che postulano la necessità di far ricorso a specifiche competenze che siano di natura giuridica ma anche tecnico-informatica. E questa è, forse, un’ulteriore causa del minor appeal di questo particolare settore. La Privacy richiede infatti una dedizione totale, indispensabile per acquisire e coltivare le conoscenze e le abilità adeguate a governare la complessità che caratterizza l’ecosistema della Data Protection.
E’ comunque auspicabile che si diffonda la consapevolezza dell’importanza di presidiare in modo effettivo le attività di trattamento dei dati personali che, icasticamente, il Prof. Rodotà definiva “frammenti di identità”, quasi una sorta di “pezzetti di vita” delle persone che, per la loro essenzialità, meritano di essere oggetto permanente di una rinnovata sensibilità.
Consigliamo il volume:
Note:
[1] Tutelato dall’art. 8 della CEDU e dall’art. 7 della Carta di Nizza.
[2] Vds. Considerando 1,4 e 6 nonché art. 1 del GDPR.
[3] Secondo quanto stabilito dall’art. 6 TUE, la Carta di Nizza ha lo stesso valore giuridico dei Trattati dell’UE ed è quindi diritto primario.
[4] Così nel Considerando 7 del GDPR.
[5] Vds. Considerando 78 del GDPR.
[6] Fissato all’art. 5, paragrafo 2 ed all’art. 24, paragrafo 1 del GDPR.
[7] Art. 29 del GDPR.
[8] Vds. Art. 25 del GDPR.
[9] Art. 32 del GDPR.
Scrivi un commento
Accedi per poter inserire un commento