Privacy: definizione e aggiornamenti

262 0

Quando si parla di Privacy si fa riferimento al diritto alla riservatezza delle informazioni personali, in altre parole al diritto alla propria vita privata. Se intendiamo la privacy come semplice diritto alla riservatezza, la Data Protection o protezione dei dati personali rappresenta la sua naturale evoluzione; si tratta infatti dell’azione di protezione messa in atto al fine di garantire non solo la riservatezza dei dati, ma anche la loro integrità e disponibilità (RID).

In questo articolo esaminiamo la differenza tra Privacy e Data Protection; i cambiamenti e gli adempimenti previsti dal GDPR: il Regolamento europeo sulla protezione dei dati personali in vigore dal 2016 ed in piena attuazione dal 25 maggio 2018. Un punto di riferimento a livello europeo.

Definizione di Privacy e Data Protection

Privacy o Data Protection?

La parola “privacy” non compare nemmeno in un rigo nell’attuale testo del Regolamento (UE) 679/2016 cd GDPR. A ben guardare, lo stesso termine non si trova espresso neppure nel “vecchio” Cod. Privacy D.Lgs. 196/2003 ante riforma (D.Lgs. 101/2018).

Troviamo invece frequenti ricorrenze dei termini “riservatezza” occorrendo per undici volte, e “rischio/rischi” nel GDPR per ben ottantuno volte.

Questo è molto significativo evidenziando come il termine “privacy” sia in realtà sostanzialmente errato. Con la conseguenza che si dovrebbe trattare di Data Protection, più correttamente.


Il diritto alla riservatezza

Il termine inglese privacy, che tradotto brutalmente in italiano significa riservatezza o “privatezza”, indica nel lessico giuridico il diritto alla riservatezza della vita privata di ogni persona.

L’Art. 1 del GDPR, Oggetto e finalità, recita infatti:

«1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. 

2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.».

Appare quindi lampante come il termine privacy sia inidoneo e limitativo a rappresentare gli obiettivi del GDPR.

Cos’è la Privacy?

Ciò premesso, quando si parla di Privacy si fa riferimento al diritto alla riservatezza delle informazioni personali, in altre parole al diritto alla propria vita privata.

Limitare il diritto di cronaca

Nel 1890 un giornale locale di Boston, Evening Gazette, comparvero alcuni articoli con indiscrezioni sulla vita matrimoniale della moglie di un noto avvocato locale: Samuel D. Warren.

Pare che l’avvocato, seccato di queste indiscrezioni, pubblicò per tutta risposta un saggio sulle pagine della Harvard Law Review, insieme al suo socio di Studio Louis D. Brandeis. Il primo testo sul “diritto ad essere lasciati da soli” (right to be let alone) è del 15 dicembre del 1890.

Per la prima volta si a ferma l’idea secondo la quale il diritto di cronaca doveva essere limitato per tutelare la riservatezza personale.

Nell’affermare questo importante principio si appellarono inoltre alla tutela della sensibilità umana, della protezione dei sentimenti, delle emozioni e dei pensieri privati, come se gli stessi fossero una estensione del diritto alla proprietà privata.

Diritto di informare e diritto di essere informati

L’articolo narrava «Siamo insomma arrivati a riconoscere il valore giuridico della sensibilità umana. Ormai si è capito che solo una parte del piacere, del dolore, della soddisfazione della vita deriva, per gli uomini, dai beni materiali. Pensieri, emozioni, e sensazioni richiedono dunque, un riconoscimento giuridico.».

Questa importante pubblicazione segnò un confine tra il diritto ad informare ed il diritto ad essere informati, perché tale informazione ha una giustificazione democratica solo se la persona in questione ha un ruolo pubblico. Il diritto alla riservatezza, se la persona è un normale privato cittadino, deve quindi essere garantito.

Se pertanto intendiamo la privacy come semplice diritto alla riservatezza, la Data Protection o protezione dei dati personali rappresenta sicuramente la sua naturale evoluzione.

Cos’è la Data Protection?

Il termine “Data Protection” che tradotta significa “Protezione dei Dati” è naturalmente collegato ad un cosiddetto “trattamento” di dati.

La Data Protection è quindi l’azione di protezione messa in atto al fine di garantire non solo la riservatezza dei dati, ma anche la loro integrità e disponibilità (RID).

Riservatezza

Si parla di riservatezza quando occorre garantire l’accesso alle informazioni personali esclusivamente ai soggetti che hanno diritto ad accedervi. La riservatezza deve essere garantita durante tutto il ciclo di vita del dato, ossia da quando viene generato e/o raccolto a quando viene distrutto, passando ovviamente per ogni tipo di conservazione.

Integrità

Si parla di integrità quando ci si riferisce alla caratteristica dell’informazione a non essere in alcun modo alterata o corrotta. In questo caso stiamo parlando di ogni evento che può alterare e “corrompere” le informazioni, e quindi ad esempio una modifica accidentale di una informazione, o la “corruzione” dell’informazione che può avvenire ad esempio per il guasto ad un supporto di memorizzazione (anche parziale).

Disponibilità

La caratteristica più difficile da inquadrare è normalmente la disponibilità dell’informazione. Si tende infatti a non considerare questo fattore come un problema dal momento che si tratta del caso in cui una informazione cui dover accedere non risulta, anche solo temporaneamente, disponibile. Se però questo accade nel momento sbagliato, il danno che ne può derivare è enorme. Pensiamo ad una sala operatoria e ad un chirurgo che deve accedere ai dati di un paziente e questi improvvisamente non siano accessibili.

Evoluzione normativa

Il Regolamento Europeo sulla protezione dei dati

Ha senz’altro costituito un enorme passo in avanti se non un deciso punto di svolta quanto meno sulla razionalizzazione e costituzione di un punto di riferimento a livello europeo.

Il GDPR, o General Data Protection Regulation, è il Regolamento europeo sulla protezione dei dati personali in vigore dal 2016 ed in piena attuazione dal 25 maggio 2018.

Dal punto di vista della tecnica legislativa adoperata, la scelta del Legislatore sovranazionale è stata quella di utilizzare uno strumento come il “regolamento” affinché fosse direttamente applicabile (“self executing”). A differenza della direttiva che invece, come è noto, avrebbe richiesto il recepimento della stessa attraverso la legislazione nazionale.

Non per questo, tuttavia, non è stato necessario a distanza di due anni doverlo armonizzare con la legislazione nazionale.

Nel nostro Paese, ad esempio, è intervenuto il D.Lgs. 101/2018 che in parte qua abroga il precedente D.lgs. 196/2003 rinnovellandolo per altri versi.

D.Lgs. 101/2018

Dal 19 settembre 2018 il decreto legislativo 101/2018, armonizza il “vecchio” Codice Privacy (D.lgs. 196/2003) con il GDPR.

Nonostante l’iniziale “soft law”, in realtà non v’è stato, almeno sulla carta, alcun periodo di applicazione “morbida” delle disposizioni contenute nell’armonizzato Cod. Privacy.

Con la conseguenza che oggi la normativa vada necessariamente letta e interpretata in un quadro complesso comprensivo di almeno:

  • GDPR
  • D.Lgs. 196 del 2003;
  • D.Lgs. 101 del 2018.

Quest’ultimo dev’essere applicato in tutte le sue disposizioni normative in piena aderenza e conformità al GDPR.

Esplicitamente, senza alcun margine di dubbio, l’art. 22, comma I che recita: “Il presente decreto e le disposizioni dell’ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra gli Stati membri ai sensi dell’art. 1, paragrafo 3 del Regolamento (UE) 2016/679”.

Ulteriori sviluppi ed aggiornamenti

Revisione del GDPR, Regolamento Generale sulla Protezione dei dati

Il Regolamento Generale sulla Protezione dei Dati è nato per rafforzare e rendere omogeneo il trattamento dei dati personali dei cittadini e residenti dell’Unione Europea, all’interno ed all’esterno dei confini comunitari. Il Regolamento ha indotto un significativo cambiamento nelle organizzazioni che hanno dovuto ottemperare, spesso con fatica, agli adempimenti previsti.

Questo è stato particolarmente evidente per le piccole e medie aziende, per gli enti no-profit, che per dimensione e capacità di investimento, non sono riusciti a cogliere in pieno i seppur validi principi del GDPR.

Relazione su valutazione e riesame del GDPR

Per dovere di cronaca, a due anni circa dalla piena attuazione del GDPR (e quindi entro lo scorso 25 maggio 2020) la Commissione Europea ha trasmesso al Parlamento Europeo ed al Consiglio d’Europa, una Relazione sulla valutazione e per il riesame dello stesso GDPR.

Analoghe operazioni di revisione verranno effettuate con regolarità, ma da qui in avanti con cadenza quadriennale, come prevede l’art. 97 del GDPR.

Proprio le piccole e medie aziende e gli enti no-profit stanno facendo pressione al fine di adeguare il GDPR alle loro capacità/necessità.

Proposta di modifica del testo del GDPR

La Commissione può avvalersi (come peraltro sta facendo) della collaborazione degli Stati Membri e delle Autorità di Controllo degli stessi Stati, al fine di migliorare la sua comprensione e visione, e sulla base di questa procedere alla stesura della prevista Relazione.

Anche le posizioni e le conclusioni del Parlamento Europeo e del Consiglio, nonché di altri organismi o fonti pertinenti, ed alla luce degli sviluppi delle tecnologie dell’informazione e dei progressi della società dell’informazione (contesto), concorreranno alla composizione della proposta di modifica del testo del GDPR.

Lo scorso 19 dicembre 2019 i membri delle rappresentanze permanenti degli Stati Membri presso il Consiglio dell’Unione europea hanno pubblicato la proposta. Dopo la sua formale adozione, il documento verrà presentato dal Consiglio alla Commissione europea.

Piccole e Medie imprese ed Associazioni

Nel documento si affrontano anche diversi problemi (come di seguito dettagliati), ed in particolare la necessità di avviare quella semplificazione per le PMI finora non realizzata (nonostante lo stesso GDPR la incoraggiasse, ad esempio all’30).

Anche le Associazioni di beneficenza e di volontariato hanno incontrato le medesime difficoltà. In particolare, queste ultime hanno avuto considerevoli difficoltà sull’attuazione dell’accountability e nella creazione di un sistema di gestione adeguato (MOP – Modello Organizzativo Privacy), il tutto in relazione alla particolarità della loro attività.

Anche la gestione delle violazioni dei dati personali, con la relativa notifica all’Autorità di Controllo (attualmente prevista entro 72 ore), ha sollevato questioni problematiche circa la mole di lavoro generata dalla gestione delle notificazioni effettuate.

Con riferimento a ciò, il documento del Consiglio suggerisce un “modulo armonizzato” per la notifica.

Documento di “Posizione e conclusioni del Consiglio”

Analizziamo ora i dettagli.

Il documento di 17 pagine denominato “Posizione e conclusioni del Consiglio in merito all’applicazione del regolamento generale sulla protezione dei dati (GDPR)” è stato presentato il 19 dicembre 2019, ed il Consiglio dell’Unione Europea lo ha formalmente adottato il 21 gennaio 2020.

La lettura del Documento risulta particolarmente interessante dal momento che è ribadito il successo del GDPR, definendolo «come una importante pietra miliare e strumento che rafforza il diritto alla protezione dei dati personali atto, nonché in grado di promuovere innovazioni che ispirano fiducia nell’intera Unione Europea». Dichiarazione fondata sull’evidenza che, in virtù del GDPR, risulta significativamente accresciuta la consapevolezza dell’importanza della protezione dei dati.

Vengono altresì evidenziati problemi necessitanti “un miglioramento” nonché identificate questioni relative all’applicazione ed all’interpretazione del GDPR (sollevate all’unisono dalla maggior parte degli Stati membri).

Le principali osservazioni

Dalle Osservazioni generali si rinviene anzitutto un accresciuto impatto in termini di attività e necessità di risorse, per le Autorità di protezione dei dati (DPA).

Di poi, si ricava una necessità di:

  • incrementare ulteriormente la collaborazione tra le Autorità di controllo degli Stati membri, in relazione anche ai trattamenti “transfrontalieri” che comportano rischi;
  • fornire maggiori chiarimenti ed indirizzi, ai Titolari del trattamento e ai Responsabili del trattamento, da parte delle Autorità di controllo e dell’EDPB (Comitato Europeo per la Protezione dei Dati);
  • rafforzare e sviluppare i codici di condotta riferiti ai settori operativi, in relazione a quanto previsto dall’art. 40 del GDPR, con particolare attenzione circa la protezione dei dati personali dei minori e il trattamento dei dati sanitari;
  • valutare la capacità del GDPR a rispondere alle nuove sfide imposte dalle nuove tecnologie (big data, intelligenza artificiale e algoritmi autonomi, Internet of Things, blockchain, riconoscimento facciale, nuovi tipi di profilazione e tecnologia deepfake).

Ma non è tutto

Si deduce ancora che:

  • viene evidenziata e valutata la necessità di aggiornare le Clausole Contrattuali Standard in merito alla protezione dei dati per i trasferimenti internazionali. Al riguardo, riferiamo che recentemente l’EDPB con la “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data ha indetto una consultazione pubblica sul tema;
  • viene anche affermato che sono necessarie ulteriori indicazioni da parte del EDPB per quanto concerne garanzie adeguate per i trasferimenti di dati ai sensi dell’articolo 46 del GDPR;
  • sia richiesto alla Commissione di riferire sulla revisione delle Decisioni di adeguatezza sollecitandone l’adozione di nuove;
  • in merito ai meccanismi di cooperazione e coerenza, viene valutato come immaturo il funzionamento degli stessi, anche in relazione al breve periodo di applicazione; tuttavia, si precisa che l’EDPB dovrebbe sviluppare un accordo di lavoro efficiente tra le autorità di protezione dei dati nei casi multi-giurisdizionali.
  • viene evidenziato come l’aver lasciato ai singoli Stati Membri margine per stabilire le proprie regole relative all’età del consenso dei minori, abbia portato ad una eccessiva frammentazione delle norme giuridiche applicabili.
  • viene evidenziata la necessità di maggiore chiarezza sulle ipotesi di applicazione extraterritoriale; questo laddove le organizzazioni non UE, ma comunque soggette al GDPR, non rispettino l’obbligo di nominare un Rappresentante nella UE.

Margine ai legislatori dei singoli Stati membri

Il Documento presenta poi una Sezione dedicata alla marginalità lasciata dal GDPR ai legislatori nazionali; questo al fine di mantenere o introdurre disposizioni più specifiche, anche allo scopo di adattare l’applicazione di determinate norme nazionali.

Un nutrito numero di Stati Membri ha sottolineato come questo margine, se da un lato assolutamente giustificato ed utile, dall’altro ha determinato una disciplina ancora molto frammentata.

Nuovi obblighi per il settore privato

Ed ancora viene affrontato il tema dei nuovi obblighi per il settore privato, con particolare accento alle questioni relative alle micro, piccole e medie imprese, che sono state tra le parti più penalizzate dall’adeguamento al GDPR.

In questo si auspica la creazione di un maggiore equilibrio relativamente all’approccio risk based, pur riconoscendo la validità dello stesso peraltro prevista dal Legislatore come elemento basilare. Il Consiglio ritiene necessario cercare di valutare un equilibrio tra l’approccio basato sul rischio previsto degli obblighi del Regolamento, e le contingenti necessità delle PMI.

A conclusione del documento troviamo l’invito alla Commissione di condurre una revisione più completa del GDPR, anche oltre a quanto specificamente contenuto nell’art. 97 del GDPR.

Notiamo anche come il Consiglio evidenzi inoltre e testualmente: «…l’importanza di esaminare e chiarire il prima possibile come il GDPR sia applicato in relazione alle sfide rappresentate dalle nuove tecnologie e come possa rispondervi».

Conclusioni

Per avere un corretto approccio attitudinale di una disciplina così complessa ed in perenne evoluzione, occorre approfondire con continuità e dedizione questi temi; questo è possibile monitorando, pressoché quotidianamente, quanto le Autorità di Controllo, l’EDPB, il GEPD, elaborano costantemente in materia.

Per ulteriori approfondimenti consulta:

La normativa per il trattamento dei dati sensibili

Articoli correlati