GDPR. TUTTO QUELLO CHE C'E' DA SAPERE.

GDPR-cropped.jpg

Imprese ed enti pubblici sono preparati ad accogliere il nuovo regolamento sulla protezione dei dati personali?

Come forse molti sanno a partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

In estrema sintesi il GDPR:

  • introduce regole più chiare su informativa e consenso;
  • definisce i limiti al trattamento automatizzato dei dati personali;
  • pone le basi per l’esercizio di nuovi diritti;
  • stabilisce criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • fissa norme rigorose per i casi di data breach.

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

Lo Sportello Unico

Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamentoa un altro. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personaliverso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Questo nuovo diritto faciliterà il passaggio da un provider di servizi all’altro, agevolando la creazione di nuovi servizi, in linea con la strategia del Mercato Unico Digitale.

Data breach

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante. Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue. L’attuale approccio presenta numerose falle che vanno corrette. Non è semplice ma occorre farlo per non perdere l’occasione fornita dal GDPR. Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle beghe burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati, nonché agli ingenti danni economici legati a una perdita di informazione Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone:

Il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni;

Potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio. In questo ultimo caso è dovrà provvedere con una comunicazione pubblica;

L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

La figura del DPO (Data Protection Officer)

Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Il Responsabile della protezione dei dati:

  • Riferisce direttamente al vertice,
  • E’indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
  • Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.

 

Siete pronti per l'entrata in vigore del nuovo regolamento Privacy?

Il Garante della Privacy ha elaborato una Guida per l’applicazione del Regolamento Europeo 2016/679 sulla protezione dei dati personali, adottato dal Parlamento Europeo lo scorso aprile 2016, per permettere alle persone, alle imprese e ai soggetti pubblici di conoscere e correttamente applicare le nuove disposizioni in materia.

Il Regolamento, che diventerà pienamente efficace dal 25 maggio 2018, sarà operativo in tutti i Paesi UE, senza bisogno di alcuna procedura di recepimento e sostituirà l’attuale Codice della Privacy, adottato invece con il decreto legislativo 196 del 2003 in sede di attuazione di una precedente direttiva comunitaria.
Entro un anno, dunque, le normative nazionali in tema di privacy e protezione dei dati di tutti i Paesi membri dell’Unione Europea saranno uniformate in un’unica disciplina.

Il sistema predisposto dall’Unione Europea è costituito da due parti: un regolamento che riguarda le persone fisiche, le imprese e le amministrazioni e una direttiva più specifica relativa all’utilizzo dei dati personali nell’ambito della sicurezza e dell’attività di polizia e giustizia. Questa seconda parte, dovrà essere recepita dai singoli ordinamenti nazionali con una normativa di attuazione. 

La Guida del Garante affronta i temi della prima parte della normativa, dividendoli in sei gruppi (fondamenti di liceità del trattamento; informativa; diritti degli interessati; titolare, responsabile, incaricato del trattamento; approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; trasferimenti internazionali di dati) e affrontando per ognuno le relative novità e le eventuali problematiche.

In particolare, tra le novità introdotte dal regolamento ve ne sono alcune a vantaggio del titolare di dati. Innanzitutto, l’informativa eventualmente sottoscritta dal soggetto interessato, dovrà essere chiara, concisa, trasparente, intellegibile e facilmente accessibile. Inoltre, il titolare di dati potrà, all’occorrenza, decidere di trasferirli da un soggetto ad un altro, con la possibilità, quindi di cambiare gestore senza perdere i dati forniti. Soltanto per i paesi extraeuropei o per organizzazioni internazionali che non abbiano un’adeguata politica sulla privacy, sarà necessario un esplicito consenso al trasferimento dei dati personali. 
D’altro canto, il regolamento promuove la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. 
Infine, un’altra importante novità riguarda l’introduzione della figura del Data Protection Officer, un professionista addetto alla gestione e al controllo delle politiche di privacy di società ed enti. 

Entro un anno, dunque, scopriremo gli effetti apportati da questa riforma e vedremo come cambierà la gestione dei dati personali in tutta l’Unione Europea.

Il caso Elena Ferrante tra diritto all'anonimato e Privacy.

“Io non odio affatto le bugie, nella vita le trovo salutari e vi ricorro quando capita per schermare la mia persona”. 

Così scrive nell'opera autobiografica intitolata La Frantumaglia, la celebre e misteriosa Elena Ferrante di cui oggi – pare - sia stata svelata l’identità. 

L’autrice dei libri divenuti best seller è, secondo la recente inchiesta del Sole 24Ore, Anita Raja, traduttrice nata a Napoli e residente a Roma, la cui madre era un’ebrea polacca sfuggita all’Olocausto. Il giallo sulla verità di Elena Ferrante sarebbe dunque stato risolto, realizzando così il (legittimo?) desiderio di milioni di lettori che da anni vogliono conoscere il nome e la persona che si cela dietro il famoso pseudonimo.

Ci si domanda in primo luogo se l’inchiesta abbia  violato il diritto allo pseudonimo. Questo infatti oltre ad essere, al pari del nome, può essere utilizzato come strumento per occultare la propria vera identità, e quindi come espressione del diritto alla riservatezza. 

Secondo il dettato del codice civile, lo pseudonimo è un nome diverso da quello attribuito per legge; può però essere tutelato alla pari del diritto al nome purché abbia acquistato l'importanza del nome stesso, od assolva alla stessa funzione di identificazione sociale Qualora vi sia un tale presupposto (si pensi agli pseudonimi degli scrittori, o degli attori che ricorrano a nomi d'arte pressoché più noti del nome proprio) il soggetto che lo usi potrà far valere l'azione inibitoria contro l'uso indebito, chiedendo al giudice la cessazione dell'utilizzo illegittimo dello pseudonimo, sempre salvo il risarcimento dei danni.

Ma questo non sembra essere il caso. Infatti l’inchiesta giornalistica de Il Sole 24 Ore, più che mettere in atto una appropriazione dello pseudonimo della famosa scrittrice, sembra aver violato il diritto della stessa all’anonimato. 

Nell'ordinamento giuridico Italiano non esiste, tuttavia, un diritto generale di anonimato.  

Potrebbe mai Elena Ferrante, la quale ha sempre detto di non voler far conoscere la sua vera identità invocare una più generica violazione della Privacy?; diritto che, come è noto, viene sempre più spesso negato ai personaggi pubblici.

Prima della  entrata in vigore della Legge sulla privacy, la fonte del c.d. right to be left alone era costituita da una sentenza della Corte di Cassazione del 1975, che identificava tale diritto nella tutela di quelle situazioni e vicende strettamente personali e familiari, le quali, anche se verificatesi fuori dal domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile contro le ingerenze che, sia pure compiute con mezzi leciti, per scopi non esclusivamente speculativi e senza offesa per l'onore, la reputazione o il decoro, non sono giustificati da interessi pubblici preminenti. 


Col tempo la Giurisprudenza aveva precisato che  chi sceglieva la notorietà come dimensione esistenziale del proprio agire, si presumeva rinunciare a quella parte del proprio diritto alla riservatezza direttamente correlato alla sua dimensione pubblica.

La linea di demarcazione tra il diritto alla riservatezza e il diritto all'informazione di terzi sembrava quindi essere la popolarità del soggetto. Tuttavia, anche soggetti molto popolari conservano tale diritto, limitatamente a fatti che non hanno niente a che vedere con i motivi della propria popolarità.

Il rapporto fra diritto di cronaca e privacy è molto complesso ed è regolato da una serie di norme, stratificatesi nel tempo, che hanno cercato di stabilire un corretto compromesso fra i diversi interessi messi in campo.

Ci sono norme volte a proteggere la privacy dei cittadini alle quali i giornalisti devono attenersi durante l'adempimento del proprio lavoro.

La legge n.675 del 1996 sulla protezione dei dati personali, confluita poi nel “Codice in materia di protezione dei dati personali” (d.lgs. n.196 del 30 giugno 2003), ha dato vita ad un articolato sistema di bilanciamento dei diritti contrapposti attraverso la previsione di una pluralità di mezzi giuridici: criteri per il bilanciamento, procedure per realizzarlo, strumenti giurisdizionali.

Il quadro normativo attuale prevede un meccanismo di garanzia diversamente articolato a seconda della natura dei dati.

Ricordiamo, brevemente, che l’utilizzazione dei dati personali è possibile qualora vengano rispettate tre condizioni:

-    l’utilizzazione deve avvenire nell’esercizio di un’attività riconducibile alla libertà di manifestazione del pensiero;
-    i dati personali debbono essere relativi a fatti di interesse pubblico;
-    la diffusione deve avvenire “entro limiti essenziali”, cioè non deve eccedere l’intento informativo, inserendo informazioni non strettamente necessarie.

L’inchiesta sulla vera identità di Elena Ferrante non è ancora stata né confermata né smentita con chiarezza. Se sia davvero Anita Raja è quindi ancora un mistero.