Il Regolamento europeo n. 679/2016 (General Data Protection Regulation – GDPR), entrato in vigore il 24 maggio 2016 e direttamente applicabile in tutti i Paesi UE dal 25 maggio 2018, segna un cambio di passo nella disciplina sulla privacy, dismettendo i formalismi che caratterizzano la legislazione vigente, in favore di un approccio orientato al risultato. Obiettivo del legislatore europeo è quello tradurre gli adempimenti in materia di trattamento dei dati personali in meccanismi atti ad assicurare la protezione effettiva delle persone fisiche.
Il baricentro del sistema normativo sulla “privacy” si sposta dal semplice “diritto alla protezione dei dati personali” [1], alla “protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale”, inquadrata e riconosciuta come un diritto fondamentale dell’individuo [2].
La connotazione spiccatamente personalistica (people oriented) del Regolamento europeo, a ben vedere, ha una precisa motivazione strategica, coerente con gli obiettivi di sviluppo di un mercato unico digitale, fondato sulla trasparenza dei rapporti economici e sulla consapevolezza dei singoli. Riemerge, qui, la stessa equazione già enunciata nel precedente Regolamento eIDAS n. 910/2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno: per incentivare la diffusione dei servizi della società dell’informazione nell’Unione Europea, è indispensabile, anzitutto, creare un clima di fiducia negli ambienti digitali.
Così come la “mancanza di fiducia, dovuta in particolare a una percepita assenza di certezza giuridica, scoraggia i consumatori, le imprese e le autorità pubbliche dall’effettuare transazioni per via elettronica e dall’adottare nuovi servizi” (Reg. eIDAS, Considerando n. 1), allo stesso modo “la rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali” , spesso dovute alla “percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche” (Reg. 679/2016, Considerando nn. 6 e 9).
Per questo è indispensabile rafforzare la certezza giuridica tanto per le persone fisiche interessate al trattamento, che devono essere in condizione di esercitare un controllo effettivo sui propri dati personali, quanto per gli operatori del mercato e gli enti pubblici che svolgono attività di trattamento.
L’architettura normativa del Regolamento europeo riflette la consapevolezza di sovvertire gli schemi prescrittivi statici (e intrisi di rigore formalistico) che hanno caratterizzato, sinora, la disciplina sulla protezione dei dati personali, mal tollerati da un contesto sociale ed economico in continuo cambiamento.
Il fondamentale diritto alla protezione dei dati personali dell’individuo, infatti, non può prescindere dalla rete di relazioni in cui si svolge la sua personalità e in cui circolano e si intrecciano appunto i suoi dati personali.
Il trattamento deve essere ripensato secondo criteri di elasticità e capacità di adattamento. Il legislatore europeo cavalca questa nuova e acquisita consapevolezza, anzitutto, riassumendo e condensando spunti culturali eterogenei, non soltanto di natura strettamente giuridica: l’articolo 2 circoscrive l’ambito di applicazione materiale del Regolamento “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”, intendendosi per archivio “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”.
La complessità del bene giuridico protetto si riflette inevitabilmente sulla struttura della disciplina, che attinge dalla cultura archivistica, ponendola come precondizione della compliance normativa. Il provvedimento europeo adotta così un nuovo approccio sistemico, che impone analisi e valutazioni preventive sui possibili rischi per la sicurezza dei dati, la stima e la comunicazione, sin dall’informativa, del periodo di conservazione dei dati, commisurata alle specifiche finalità del trattamento, con implicazioni anche sull’esercizio dei diritti dell’interessato.
Secondo la normativa europea, infatti, l’interessato gode del diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti e ha anche il diritto di conoscere sempre il periodo di conservazione dei dati che lo riguardano. Come si possono rendere effettivi questi nuovi diritti se non si ha un controllo organizzato, efficace e coerente (anche dal punto di vista archivistico) dei propri database?
La promozione di una logica di tipo archivistico, intesa come capacità di governo dei dati, gestione dei rischi e previsione delle modalità di reazione alle violazioni esterne, proceduralizzazione delle attività trattamento – in sostanza, privacy by design e privacy by default – rimanda, d’altra parte, alla valorizzazione della responsabilità del Titolare (e, in verità, anche del Responsabile del trattamento), che deve essere in grado di dimostrare la conformità delle attività di trattamento al Regolamento, compresa l’efficacia delle misure adottate: è il principio dell’accountability (o “responsabilizzazione”, nella traduzione italiana), che evoca modelli normativi già sperimentati in tema di responsabilità amministrativa delle imprese (D. Lgs. n. 231/2001).
In poche parole: per rendere davvero applicabile e concreto il diritto alla protezione dei dati in una società sempre più liquida e in costante evoluzione è indispensabile un approccio organizzato e controllato costantemente da team multidisciplinari [3] .
È fondamentale ricordare che il tempo di adeguamento al Regolamento europeo, prima della sua applicazione esecutiva, è più breve di quel che possa sembrare. Le nuove norme impatteranno sulle competenze professionali, rendendo ancora più complessa questa necessaria riorganizzazione: i professionisti della digitalizzazione e i professionisti della privacy, mai come in questo momento, vano formati con attenzione e devono abituarsi a lavorare insieme.
Abbiamo il dovere di rispondere al cambiamento con spirito critico, di porci domande, di calare i principi normativi nella realtà dei problemi concreti di questo Paese, per evitare l’ennesimo fallimento nel percorso di digitalizzazione incentivato dall’Unione Europea e per avviare, una volta per tutte, un reale processo di semplificazione che coinvolga tutti gli attori della società civile.
È questa esigenza di confronto che ci porta, per il decimo anno consecutivo, ad organizzare l’evento nazionale del DIG.Eat, che si terrà a Roma il prossimo 23 marzo presso il Centro Congressi Fontana di Trevi. Con gli esperti che parteciperanno alle tavole rotonde, rifletteremo e dialogheremo anche sul GDPR n. 679/2016 e sulle sue applicazioni nel settore pubblico, come in quello privato. Sempre con critico ottimismo e fiducia (non cieca, ma da rendere solida e credibile) nel futuro del digitale. L’iscrizione all’evento è gratuita.
[1] Come stabilito dall’art. 2 del Decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy)
[2] Cfr. Considerando n. 1 del GDPR 679/2016
[3] E, come precisato anche nelle Linee Guida dei Garanti Europei, lo stesso DPO (Data Protection Officer) dovrebbe essere inteso come Team multidisciplinare. Approfondimenti qui.
Facebook Comments