GENERAL DATA PROTECTION REGULATION: UN NUOVO STANDARD PER I NOSTRI DATI

Lo scorso 25 maggio è entrato in vigore il Regolamento UE 2016/679, meglio noto come GDPR o General Data Protection Regulation.

È un regolamento che copre l’intera materia dei dati personali, con sostanziali modifiche rispetto alla precedente normativa, diventando quindi il nuovo punto di riferimento per tutti gli attori che operano in tale ambito.

Il GDPR sostituisce la precedente Direttiva 95/46/CE e, per quanto riguarda l’ordinamento italiano, il Codice della Privacy (D. Lgs. 196/2003).

Dall’analisi della vecchia e della nuova disciplina si nota subito come ci sia un mutamento fondamentale dell’approccio: si passa dal precedente principio del consenso preventivo per cui, semplicemente si chiedeva il preventivo consenso del proprietario dei dati affinchè si potesse operare il trattamento. Si passa, si diceva, da questo approccio a un nuovo sistema di responsabilità (cosiddetta accountability) del titolare del trattamento che è tenuto a procedere con un’analisi del rischio che può derivare dal trattamento, quindi attuare le misure necessarie in modo tale da garantire un trattamento sicuro. In questo modo non sarà necessario il consenso dato ex ante.

Questo è forse il cuore del regolamento, uno degli aspetti più importanti e interessanti quanto meno.

 

Tale principio di Accaountability è stato oggetto di attenzioni della 32° Conferenza internazionale sulla protezione dei dati personali in cui furono discussi molti temi quali il diritto all’oblio, la Privacy by Design, l’accountability appunto.

 

Questo principio affianca a una dimensione giuridica una dimensione amministrativa, un decisionismo responsabile che garantisca legalità e trasparenza, intesa come possibilità di accedere ai propri dati e conoscere la sorte designata dal titolare del trattamento (Michele Iaselli).

Si concretizza poi in una serie di misure pratiche e un’assistenza che segue il trattamento tali da, come si è già detto, garantire la sicurezza di quel trattamento.

Tornando al Regolamento, questo è riscontrabile nell’articolo 24 del GDPR: “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità̀ del trattamento, nonché́ dei rischi aventi probabilità̀ e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”

È quindi un principio che si pone come approccio pratico che permette alle organizzazioni di valutare da se la propria posizione e renderne conto alle Autorità Garanti.

L’attività di analisi e ricerca svolta, in particolare dal momento della pubblicazione del Regolamento, in attesa della sua entrata in vigore, è stata molto importante e, tra i vari soggetti che si sono occupati della questione non si può non riferirsi al Gruppo di lavoro Articolo 29.

Esso, il 4 aprile, ha pubblicato alcune linee guida per definire dei criteri comuni a tutti i titolari (Chiara Giorgini).

In particolare il WP29 si è occupato della Valutazione d’impatto di cui all’articolo 35 del GDPR[1]. La valutazione non è sempre obbligatoria, ma soltanto nei casi in cui il trattamento presenti determinati rischi. Importante è quindi stabilire quando un trattamento risulti in concreto rischioso tale da richiedere necessario lo studio dell’impatto; in tal senso le linee guida risultano fondamentali. Esse danno una serie di indicazioni in merito, invitando a prendere in considerazione alcuni aspetti quali:

  • un processo di valutazione dell’interessato, compresa la profilazione, in particolare al fine di valutare aspetti riguardanti la situazione economica, la salute, le preferenze, gli interessi personali, ecc.;
  • un monitoraggio sistematico degli interessati, che in alcuni casi potrebbero non essere consapevoli del tutto di chi sta trattando i loro dati e delle modalità con le quali il trattamento viene effettuato. Ciò vale, ad esempio, nelle ipotesi di dati raccolti in spazi pubblici o aperti al pubblico;
  • effettuazione, su larga scala, di operazioni di trattamento di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e reati di cui all’art. 10 del GDPR (ipotesi che rientra, tra l’altro, tra quelle specificamente previste dal co. III dell’art. 35). Ciò vale, ad esempio, rispetto ad un ospedale che conserva i dati dei pazienti, ma non potrà valere rispetto alle operazioni di trattamento poste in essere dal singolo medico;
  • dati che riguardano soggetti vulnerabili, quali potrebbero essere i minori o i lavoratori con riferimento al trattamento effettuato dal proprio datore di lavoro. In tal caso viene infatti a crearsi uno squilibrio di poteri tra il Titolare e l’interessato, che impedisce a quest’ultimo di prestare liberamente il consenso o di esercitare il diritto di opposizione;
  • utilizzo di soluzioni tecnologiche o organizzative di carattere innovativo;
  • trasferimenti di dati personali al di fuori dell’Unione Europea, prendendo in considerazione, tra le altre cose, il Paese di destinazione, la possibilità di ulteriori trasferimenti o la probabilità di trasferimenti basati su «deroghe in specifiche situazioni» (art. 49 del GDPR);

inoltre il WP29 individua una serie di trattamenti in cui la valutazione d’impatto non è richiesta oltre a una serie di casi in cui è opportuno consultare l’Autorità di Controllo ex art. 36 del GDPR.

L’entrata in vigore è ancora molto “fresca”, il lavoro da svolgere per le Autorità Garanti dei vari paesi europei è ancora ai suoi esordi e sarà opportuno aggiornare la situazione col il passare del tempo.

È segnalabile un primo provvedimento: si tratta di un provvedimento cautelare della Corte Regionale di Bonn, Germania[2].

La Regional Court of Bonn ha applicato la nuova normativa prevista nel GDPR nelle procedure di racconta di dati relativi al “whois”, una sorta di protocollo di rete che consente l’interrogazione di database server al fine di stabilire a quale internet provider appartenga un indirizzo IP. Si attendono dunque ulteriori decisioni in merito.

Di Davide Bertone

 

BIBLIOGRAFIA/SITOGRAFIA

 

http://www.altalex.com/documents/news/2018/02/13/il-principio-di-accountability-uno-dei-pilastri-del-gdpr

 

http://europrivacy.info/it/2017/05/15/article-29-data-protection-working-party-guidelines-on-data-protection-impact-assessment-dpia/

 

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679

 

http://www.altalex.com/documents/news/2018/06/13/gdpr-in-germania-il-primo-provvedimento-cautelare

[1] Art. 35.1 GDPR: Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

 

[2] Germania, Corte Regionale di Bonn, sentenza 30/05/2018 n° 10 O 171/18