Al momento stai visualizzando La rivoluzione del GDPR

La rivoluzione del GDPR

La protezione dei dati con il GDPR è il terreno per saggiare la tenuta del diritto rispetto alla tecnica e riportare l’individuo al centro di uno sviluppo tecnologico che rischia, altrimenti, di prescindere da ogni orizzonte di senso.

“Il futuro entra in noi (…) molto prima di essere accaduto”

Rainer Maria Rilke

Non vi è frase più esatta di questa, di Rainer Maria Rilke, per descrivere il rapporto tra diritto e tecnica, nella continua rincorsa del primo a normare i mutamenti che la seconda induce nella vita individuale e collettiva.

La materia ha di recente conosciuto la “rivoluzione” del Regolamento generale sulla protezione dei dati (GDPR) e delle relative norme nazionali di adeguamento. Dove in una cornice normativa così complessa diviene fondamentale calare la singola disposizione all’interno del contesto più ampio in cui si colloca.

Questo permette di cogliere l’essenziale funzione sociale nel bilanciamento con gli altri interessi giuridici rilevanti, ricordando che i trattamenti devono porsi “al servizio dell’uomo”.

Il Legislatore sostituisce a uno strumento di armonizzazione quale era la direttiva, uno strumento di uniformazione qual è appunto il regolamento, applicabile anche al di fuori dell’UE, in presenza di un’offerta di beni o servizi che si trovi in Europa o di un monitoraggio del relativo comportamento.

Da un lato il rafforzamento dei diritti dell’interessat* che consente una maggiore protezione da fenomeni di “lock-in” e “oblio”, dall’altro il passaggio da una tutela in chiave prevalentemente “rimediale” e successiva a una di tipo preventivo.

La sua espressione più significativa è la complessiva responsabilizzazione de* titolari verso l’adozione di una strategia aziendale fondata sulla protezione dati. In questo senso, la violazione stessa del principio di “accountability” integra gli estremi di un autonomo illecito amministrativo.

L’emanazione del D.Lgs 101/2018, ha armonizzato il Codice della Privacy italiano (D.Lgs. 196/2003) al Regolamento (UE) 679/2016 per la piena operatività della disciplina europea.

Il GDPR, infatti, disciplina la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Nasce da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. E si tratta di una risposta, necessaria e urgente, alle sfide poste dai costanti sviluppi tecnologici.

La disciplina della protezione dei dati, pertanto, si rinviene in una pluralità di fonti, le cui principali sono:

1.       Costituzione italiana;

2.       Regolamento (UE) 679/2016;

3.       D.Lgs 196/2003 (Codice della Privacy);

4.       D.Lgs 101/2018;

5.   Altre norme di settore di adeguamento dell’Ordinamento italiano a quello europeo.

Cosa introduce il GDPR?

  • Il concetto di responsabilizzazione o accountability del* titolare;
  • Importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
  • Concetti di privacy by design, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach”;
  • Regole più rigorose per la selezione e la nomina di un* responsabile del trattamento e di eventuali sub-responsabili;
  • Previsione in alcuni casi tassativi di nomina obbligatoria di un* Responsabile della protezione dei dati;
  • Regole più chiare su informativa e consenso;
  • Viene ampliata la categoria dei diritti che spettano all’interessat*;
  • Sono stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue.

Cosa si intende per “portabilità”?

Con tale espressione ci si riferisce, infatti, al diritto dell’interessat* di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati personali per trasferirli da un* titolare del trattamento a un altr*.

Il diritto alla portabilità, pertanto, può essere esercitato quando il trattamento si basa sul consenso, su un contratto o sia effettuato con mezzi automatizzati.

Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il/l* titolare del trattamento.

Cosa si intende per “accountability”­­?

Per “responsabilizzazione de* titolari del trattamento” (accountability) ci si riferisce all’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento del GDPR.

Un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli/dell* interessat*, che consideri i rischi noti o evidenziabili.

L’approccio deve considerare anche le misure tecniche e organizzative (anche di sicurezza) ritenute adeguate dai/dall* titolari per mitigare tali rischi.

“Data Breach” con il GDPR

Il/l* titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante che comportino impatti sui diritti e le libertà degli/dell* interessat*.

Rispondere in modo efficace ad un data breach richiede un approccio multidisciplinare ed integrato oltre che una maggiore cooperazione a livello Ue.

L’attuale approccio presenta numerose falle che vanno inevitabilmente corrette se non si vuole perdere la grande occasione fornita dal GDPR.

FONTI

IPSOA Manuali “Privacy, protezione e trattamento dei dati” 2020

Agenda Digitale

Lascia un commento