L’obiettivo del nuovo regolamento europeo è quello di semplificare, per quanto possibile, le modalità di trattamento dei dati, pur essendo – gli adempimenti richiesti dallo stesso regolamento – più corposi e stringenti di quelli previgenti.
Nessuno può dubitare del fatto che oggi lo scambio di dati sia una componente fondamentale della crescita economica e molti programmi di sviluppo sono, infatti, basati proprio su questo principio. Il regolamento altro non fa che trasformare questo libero scambio in uno scambio sicuro.
Il concetto di dato personale, essendo stato allargato in misura significativa, con l’introduzione dell’indirizzo IP e dei cookies nel novero dei dati personali per il semplice fatto che lasciano una traccia che potrebbe ricondurre a una persona fisica, è opportuno sottolineare in primo luogo l’importanza della pseudonomizzazione che consente una diminuzione degli obblighi in materia di protezione dati perché crea un collegamento meno diretto fra persona fisica e dato; in secondo luogo assume ancora più rilevanza la finalità della raccolta dati che sia determinata, esplicita e legittima e che consenta l’utilizzo dei dati solo nel contesto di riferimento in cui sono stati raccolti.
La normativa privacy è stata, da sempre, oggetto di traduzioni. Il termine privacy, di chiara origine anglosassone, non era contemplato nell’ordinamento italiano.
La trasposizione è stata fatta intendendolo come il diritto alla riservatezza. Il regolamento europeo, proprio nell’ottica della maggiore tutela ai diritti dell’interessato e con la finalità di estendere il novero dei dati personali e dei diritti ad essi collegati, non parla più di privacy ma di protezione dei dati.
La privacy oggi non esiste più.
Esiste un concetto inclusivo di qualunque trattamento effettuato con dati personali che non sono più i dati sensibili previsti dal vecchio codice, ma sono dati personali, convenzionali o sensibili fra i quali rientra addirittura l’indirizzo IP.
Risulta quindi evidente la maggiore cautela e competenza che bisogna adottare nella gestione del trattamento dati, ed è il motivo fondamentale per il quale occorre al più presto spingere per l’adeguamento al regolamento europeo: sia perché gli adempimenti sono più stringenti e specifici (informative lettere d’incarico ) sia perché i diritti dell’interessato sono più estesi (accesso, cancellazione, modifica, revoca, portabilità, oblio) occorre che le figure che si occupano di tali gestioni siano formate ed informate sul da farsi.
I dati personali, che siano pertinenti e non eccedenti, possono essere legittimamente trattati dal Titolare del Trattamento purché osservi tutte le disposizioni della disciplina in materia di protezione dei dati personali.
Da quanto sopra viene fuori un quadro estremamente chiaro degli obiettivi e della funzione del regolamento europeo: sono tanti i principi che regolano tale quadro, proviamo a darne spiegazione:
Primo fra tutti è il principio dell’esattezza dei dati di cui all’art 5 che stabilisce chiaramente il diritto da parte dell’interessato di modificare e aggiornare principalmente i propri dati (principio assente nel vecchio decreto privacy);
il principio della trasparenza che si lega alla nuova e più incisiva importanza data al consenso che è valido solo se le informazioni date rispettano a pieno la trasparenza del trattamento;
il principio delle misure idonee che lascia al titolare la possibilità di capire i diversi rischi nel trattamento dei dati a seconda delle attività svolte (operaie/segretarie);
il principio della consapevolezza dei rischi e degli obblighi del trattamento, che si attua attraverso la formazione obbligatoria degli addetti o responsabili sia del trattamento che della protezione dei dati;
il principio del data breach che obbliga alla segnalazione della violazione del dato;
il principio della privacy by design e default che, mentre per i produttori è una raccomandazione, per il titolare ed il responsabile del trattamento è un obbligo (come accade per es. nell’ipotesi di sostituzione di un software di gestione);
il principio della portabilità dei dati che deve garantire che il formato sia leggibile da terzi .
Sorge spontanea una domanda da parte delle aziende: Perché porre in essere tutti questi adempimenti?
Ma al di là dell’obbligo normativo, che sarebbe la risposta più ovvia ed immediata, Quanto vale per l’azienda l’adeguamento normativo?
A tal proposito è opportuno precisare che nel caso di ispezione o controllo ogni informativa incompleta o lettera d’incarico redatta sulla base di modelli ex d. lgs. 196/03 risulta assolutamente inidonea e quindi fuori norma e soggetta a sanzione. In quest’ottica, il titolare del trattamento ed il responsabile del trattamento rispondono in solido del danno reputazionale dell’azienda per incauto affidamento.
Non importa che la documentazione sia stata predisposta e sia in azienda se risulta redatta secondo modelli con conformi al Reg UE.
In aggiunta a questi principi, evidenti e codificati dagli artt del regolamento europeo, si sottolinea che molte delle prassi che si chiederanno d’ora in avanti rientrano in un’interpretazione estensiva che va fatta sul regolamento e che è dovuta alla necessità di adattare alcuni termini tecnici inglesi alla nostra lingua che non li traduce correttamente secondo quanto previsto dall’originario regolamento in lingua madre. ( es. il termine audit viene fuori nella versione inglese agli artt 28,39,47,58 – nella versione italiana tale termine non compare ma è sostituito da revisione, controllo, verifica.) questo non significa minimamente che l’adempimento dell’audit non vada rispettato in Italia, bensì che la traduzione ha assunto sfaccettature diverse che si concretizzano nelle operazioni di attività di revisione del responsabile del trattamento di cui all’art 28; nei compiti di controllo da parte del DPO sulla formazione del personale di cui all’art 39; nel potere di svolgere attività di revisione sulla protezione dei dati da parte del’autorità di controllo di cui all’art 58.