Evoluzione della normativa sulla tutela della privacy

La nozione di dato personale oggetto del trattamento nel tempo non ha subito modifiche sostanziali, rimanendo una categoria ampia e generica, al cui interno sono incluse tutte quelle informazione riferite al soggetto. Il dato personale viene così definito come “qualsiasi informazione concernente una persona fisica identificata o identificabile”.

La nozione stessa di tutela della privacy, invece, è stata al centro di un complesso sistema di innovazioni, strettamente connesse al progresso tecnologico e sociale, legato anche all’evoluzione del web e dei software gestionali in generale. Nel XIX Secolo la tutela della privacy era contemplata soltanto come l’accezione negativa del diritto di riservatezza, come diritto a non ottenere informazioni.

Oggi la sua portata applicativa è ben più estesa e complessa. Nella sua evoluzione, il concetto di privacy è stato caratterizzato da una particolare frammentarietà e diversità delle fonti in materia: in questo processo il GDPR ha lo scopo di diventare la fonte di diritto comunitario dalla funzione unificante, in una prospettiva di uniformità ed armonizzazione della tutela dei dati personali dell’individuo, nell’ambito dei diritti riconosciutigli nei Trattati e nella Convenzione Europea dei Diritti dell’Uomo.

Le novità del GDPR 2016

A fronte di questa evoluzione, il GDPR del 2016 è intervenuto per tutelare non tanto il dato personale, quanto la persona dell’interessato, riconoscendo nella tutela di quest’ultimo un diritto assoluto e offrendo un nuovo approccio alla materia. La normativa introduce nuovi principi, come il principio di accountability, quale responsabilizzazione di titolari e responsabili del trattamento, deputati alla predisposizione delle misure necessarie ad assicurare l’applicazione del Regolamento.

Direttamente proveniente dal principio di accountability è l’innovazione della stessa nozione di privacy, che vede una scissione nei due distinti concetti di privacy by default e privacy by design, quali modalità di gestione della tutela degli interessati. Tali nozioni trovano fondamento giuridico nel Considerando n. 78 e nell’articolo 25 del GDPR, rispettivamente norma di principio e norma precettiva.

Privacy by Design e Privacy by Default

L’art. 25 par. 1 del GDPR, in particolare, disciplina la nozione di privacy by design quale precetto rivolto in via diretta al titolare del trattamento, che impone, già in sede di progettazione del trattamento (ma anche nel corso dello stesso), l’utilizzo di misure e sistemi che applichino efficacemente i principi in tema di protezione dei dati, così come enunciati dal legislatore comunitario.

Parimenti, l’art. 25 par. 2 GDPR disciplina la privacy by default come l’obbligo, in capo al titolare del trattamento, di trattare ed utilizzare, per impostazione predefinita, esclusivamente i dati necessari al raggiungimento delle finalità previste, mediante l’adozione delle più idonee misure di protezione, prevenzione e organizzazione volte ad evitare episodi di data breach.

L’introduzione di tali principi si concretizza nella conseguente necessità che i titolari del trattamento si attivino predisponendo una valutazione di impatto sulla protezione dei dati nell’ambito di ogni attività che preveda il trattamento di dati personali.

persone alla scrivania con laptop

 

Il Data Protection Impact Assessment

La combinazione di questi due principi (privacy by design e privacy by default) restituisce la giusta prospettiva dalla quale poter osservare l’evoluzione della disciplina: diversamente dal passato, in cui la tutela della privacy era sempre stata intesa soltanto come un fenomeno naturalmente successivo al trattamento dei dati personali, il legislatore del GDPR opta per una protezione del dato personale anticipando ed estendendo la tutela dell’interessato.

Tale innovazione richiede la predilezione di strumenti di tutela sostanziali piuttosto che formali (quali, appunto, la Data Protection Impact Assessment – DPIA), secondo il principio di tutela non tanto del dato, quanto della persona dell’interessato.

Differenza tra Titolare e Responsabile del trattamento

Al fine di assicurare il rispetto della rinnovata concezione di privacy, il GDPR si sofferma anche sull’analisi delle figure professionali coinvolte. La figura del Titolare del trattamento viene innovato nella misura in cui il Regolamento preveda la possibilità di una contitolarità del trattamento, mentre il Responsabile del trattamento è da intendersi quale persona fisica o giuridica cui il titolare conferisce porzioni del trattamento dei dati, mediante l’attribuzione contrattuale e/o legale di responsabilità.

Il GDPR disciplina la necessità che il responsabile, che effettui il trattamento per conto del titolare, presenti garanzie sufficienti a mettere in atto le misure idonee a far sì che il trattamento soddisfi i requisiti e garantisca la tutela dei diritti dell’interessato.

Il Data Protection Officer

Il GDPR prevede obblighi specifici anche in capo al Responsabile del trattamento, quale soggetto distinto dal titolare, con particolare riguardo alla tenuta dei registri delle attività di trattamento ed alla designazione di una figura di responsabilità a questi affine ma distinta, coincidente con il Data Protection Officer. Il DPO viene definita come “la persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento”: è connotata da una preminente funzione di garanzia della conformità del trattamento dei dati rispetto al GDPR e risulta, anch’essa, corollario del già citato principio di accountability.

Il GDPR definisce la figura del Data Protection Officer riguardo le nozioni di designazione, posizione e compiti: la centralità e complessità della sua figura è altresì confermata dall’esistenza dell’Article 29 Data Protection Working Party, che ha redatto e divulgato apposite Linee Guida in data 13 Dicembre 2015 e 5 Aprile 2017.

Ai sensi di tale corpus normativo, salvi i casi ulteriori in cui la nomina del DPO sia prevista dall’ordinamento europeo o da quello dei singoli Stati, la designazione è obbligatoria nel caso in cui il trattamento sia effettuato da un’autorità od organismo pubblico o, nel settore privato, qualora le attività principali del titolare del trattamento e del responsabile consistono in trattamenti di dati che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o di particolari categorie di dati personali o relativi a condanne penali.

persona che lavora con il laptop alla scrivania

La designazione del DPO nel settore privato

I casi di designazione obbligatoria del DPO nel settore privato appena richiamati si fondano su una serie di concetti sicuramente di rilievo. Prima di tutto la nozione di attività principale, da intendersi come attività primaria che esula dal trattamento dei dati personali e richiede di considerare se il titolare conduca una o più attività e se tra esse ve ne sia una emergente sulle altre per ragioni qualitative o quantitative.

In secondo luogo, il concetto di larga scala, in virtù di elementi quali il numero degli interessati, la massa e la tipologia dei dati raccolti, i tempi del dato e dell’attività di trattamento e l’estensione geografica dello stesso. La larga scala afferisce al trattamento di una notevole quantità di dati personali rispetto al contesto territoriale di riferimento ed è tale da incidere su un vasto numero di interessati, secondo un canone di tipo quantitativo per la cui applicazione ha previsto la redazione di un elenco dei trattamenti.

Infine il concetto di monitoraggio regolare e sistematico, da riferire alla condotta dei soggetti e coincidente nel tracciamento della condotta delle persone fisiche o nella loro profilazione, tradendo così la volontà del legislatore europeo di innalzare la tutela dell’interessato dinanzi al monitoraggio del comportamento delle persone.

Ferma la sua designazione, il DPO, può essere sia persona fisica sia giuridica, un dipendente del titolare o un soggetto esterno, legato a quest’ultimo da un contratto di servizi: in ogni caso deve essere in condizioni di adempiere alla funzione ed ai relativi compiti in modo indipendente, disponendo di autonome risorse economiche e organizzative.

I compiti del DPO

Gli articoli successivi del GDPR sono dedicati alla posizione del DPO ed ai suoi compiti (individuati solo in via esemplificativa), che involgono ogni questione riguardante la protezione dei dati personali, concernenti in particolare l’informazione e consulenza circa gli obblighi derivanti dal Regolamento e dalle altre disposizioni interne o comunitarie, la sorveglianza delle relative disposizioni, con possibilità di rendere pareri in ordine alla valutazione d’impatto sulla protezione dei dati e il rapporto di cooperazione con l’Autorità di controllo.

Differentemente, la tenuta del registro del trattamento, come sopra detto, è formalmente un compito proprio del Responsabile del trattamento, per quanto esista la possibilità di affidare il detto compito al DPO.

In punto di responsabilità, infine, occorre segnalare l’assenza di responsabilità personale del DPO in caso di inosservanza degli obblighi in materia di protezione dei dati, incombendo in capo al titolare ed al responsabile l’onere probatorio circa la conformità al regolamento. Il Data Protection Officer, tuttavia, assume responsabilità di tipo contrattuale nei confronti del Titolare e del Responsabile del trattamento.

testi di legge e martelletto

Come approcciarsi alla nuova normativa

Alla luce di quanto sin qui esposto, è possibile evidenziare la necessità, percepita dal legislatore del GDPR, di uniformare ed armonizzare le frammentarie discipline che caratterizzano i singoli Paesi in materia di privacy, ferma la possibilità che ogni singolo Paese membro adotti discipline ad hoc per ogni singolo Stato o materia.

Nell’attesa della pubblicazione del nuovo Codice della Privacy, il cui termine di emanazione è previsto per il 21 Agosto 2018, che abrogherà il precedente d.lgs. 30 Giugno 2003 n. 196 nelle parti in cui già non era stato abrogato per contrasto con il GDPR, rimane auspicabile mantenere, rispetto alla tematica privacy, un approccio il più estensivo possibile, conformemente all’attuale concezione di tutela dei dati personali, non solo di materia giuridica ma anche di rilievo politico, economico e sociale.

Vuoi condividere con noi le tue idee?
Siamo qui per ascoltarti