di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy
Inutile negare che, dal 25 Maggio 2018, con la definitiva scadenza del termine per l’adeguamento al GDPR (General Data Protection - Regolamento Europeo n. 679/2016), si sono presentate per le aziende e la Pubblica Amministrazione nuove criticità dovute al riconoscimento di una serie di diritti e prerogative agli “interessati” vale a dire gli utenti i cui dati personali, per disposizione di legge o per loro volontà, sono nella disponibilità di soggetti terzi che dovranno trattarli, conservarli, custodirli e non divulgarli.
Il dato: diritto indisponibile e merce
Nell’attuale quadro, profondamente difforme da quello della precedente normativa, il principio chiave è la liceità del trattamento dei dati se e in quanto l’interessato abbia manifestato un esplicito consenso al trattamento. In quest’ottica il dato personale assume la funzione e, quindi, la stessa natura di un bene che il titolare del trattamento può utilizzare, valutare, trasmettere nel rispetto dei principi generali di proporzionalità, adeguatezza, pertinenza e non abuso rispetto alle finalità per cui il consenso al trattamento sia stato prestato.
Quando il consenso dell’interessato viene revocato, il dato ripristina la sua natura di diritto indisponibile, rientrando nell’ambito del perimetro dei diritti della persona non più intesa in senso tradizionale (nome, immagine, reputazione ecc..) o come diritto alla privacy, bensì nell’ambito più vasto della rappresentazione pubblica di sè che ha un individuo e che la pubblicità del dato, invece, lede.
Il dato personale, quindi, nella nuova prospettiva della normativa europea è un elemento metagiuridico in quanto se trattato con il consenso è merce, ma se il consenso viene revocato allora si ripristina, in forza di tale atto di manifestazione di volontà, la natura di diritto indisponibile. Da ciò deriva la particolare importanza e, quindi, la necessità di dover indicare nell’informativa i diritti dell’interessato. Pena la nullità del consenso.Nell’attuale quadro, profondamente difforme da quello della precedente normativa, il principio chiave è la liceità del trattamento dei dati se e in quanto l’interessato abbia manifestato un esplicito consenso al trattamento. In quest’ottica il dato personale assume la funzione e, quindi, la stessa natura di un bene che il titolare del trattamento può utilizzare, valutare, trasmettere nel rispetto dei principi generali di proporzionalità, adeguatezza, pertinenza e non abuso rispetto alle finalità per cui il consenso al trattamento sia stato prestato.
Quando il consenso dell’interessato viene revocato, il dato ripristina la sua natura di diritto indisponibile, rientrando nell’ambito del perimetro dei diritti della persona non più intesa in senso tradizionale (nome, immagine, reputazione ecc..) o come diritto alla privacy, bensì nell’ambito più vasto della rappresentazione pubblica di sè che ha un individuo e che la pubblicità del dato, invece, lede.
Dovrà essere quindi specificamente indicato il lasso di tempo in cui il titolare tratterà e conserverà i dati fino alla cancellazione dai loro database. Qualora non sia possibile individuare un termine specifico, dovranno essere indicati i criteri e i parametri utilizzati per determinare tale periodo. Esattamente l’opposto di quanto sin ora avvenuto, dove la trasmissione dei dati era incontrollata anche in presenza di revoca del consenso. Il cambiamento radicale si deve in parte anche alla decisione della Corte di Giustizia che ha stabilito l’obbligo, per i motori di ricerca, di soddisfare le richieste di rimuovere le chiavi di ricerca con il nome dell’interessato qualora il motore stesso ritenga che questi dati non siano più rilevanti. Si deve optare quindi necessariamente per un bilanciamento tra tre diversi ordini di diritti:
- il diritto alla privacy del singolo;
- il diritto di tutti a conoscere;
- il diritto dei motori di ricerca a ridistribuire informazioni.
In sintesi i diritti del singolo e i diritti di cronaca e informazione vanno a collidere con verosimile prevalenza del secondo. Un cambio di prospettiva radicale.
La nuova normativa, prevede una valutazione preventiva (cd. privacy by design) con la quale il titolare è tenuto ad effettuare una valutazione preliminare riguardo a ciascun trattamento da effettuare e stabilire la durata dello stesso.
Conoscere le fonti:
Altro importante diritto dell’interessato è quello di conoscere da quale fonte provengano i dati personali trattati dal titolare, qualora questi li abbia raccolti da un soggetto diverso dall’interessato stesso. Questo diritto, nuovo per la legislazione italiana, ma già presente nelle legislazioni di altri Paesi europei, è quello che ha originato le sanzioni nei confronti di Facebook. Anche qui il cambiamento portato dal GDPR si ripercuote sull’informativa: il Titolare, che raccoglie dati presso terzi dovrà inviare all’interessato, al più tardi entro un mese, un’informativa completa del soggetto presso cui li ha raccolti, per permettere all’interessato di poterne avere il controllo.
Conoscere le fonti:
Altro importante diritto dell’interessato è quello di conoscere da quale fonte provengano i dati personali trattati dal titolare, qualora questi li abbia raccolti da un soggetto diverso dall’interessato stesso. Questo diritto, nuovo per la legislazione italiana, ma già presente nelle legislazioni di altri Paesi europei, è quello che ha originato le sanzioni nei confronti di Facebook. Anche qui il cambiamento portato dal GDPR si ripercuote sull’informativa: il Titolare, che raccoglie dati presso terzi dovrà inviare all’interessato, al più tardi entro un mese, un’informativa completa del soggetto presso cui li ha raccolti, per permettere all’interessato di poterne avere il controllo.
Questi nuovi diritti, tra gli altri, costituiranno la piattaforma di verifica della capacità, della conoscenza e delle competenze del DPO in ordine alle misure da adottare in conformità con “……le prescrizioni del regolamento” e corrispondenti “……misure tecniche e organizzative”. Solo all’esito positivo della verifica saremo in presenza di competenze e professionalità volta a rendere efficace la scriminante della responsabilità penale e amministrativa, anche se resterà sempre quella civile ex art. 2051c.c., per danno cagionato dalle cose in custodia (i dati). Quest’ultimi anche se saranno gestiti in conformità alle prescrizioni del regolamento e alle relative misure tecniche ed organizzative potrebbero sempre dare causa a responsabilità, salvo che si dia la prova (il cui onere è invertito) che il danno sia derivato da caso fortuito e sarà questo il parametro finale per valutare le competenze del RPD e del DPO.
Nessun commento:
Posta un commento