Con l’entrata in vigore, il 25 maggio 2018, delle norme del GDPR (General Data Protection Regulation), ossia del nuovo Regolamento Europeo n. 679/2016, un fiume torrenziale di nuove criticità e di nuovi diritti si è abbattuto sulle aziende e sulla Pubblica Amministrazione che non hanno fatto i conti con la natura del regolamento europeo che è direttamente applicabile in tutti gli Stati membri.
Il Regolamento Europeo in materia di protezione dei dati attribuisce infatti nuovi diritti, nuove facoltà e nuove prerogative agli interessati. Nella nuova configurazione il principio chiave è la liceità del trattamento dei dati se e in quanto l’interessato ha dato un esplicito consenso al trattamento. In tale prospettiva il dato personale assume la funzione e, quindi, la natura di merce che il titolare del trattamento può utilizzare, valutare, trasmettere sempre però sulla base del rispetto dei principi generali di proporzionalità, adeguatezza, pertinenza e non eccedenza rispetto alle finalità per cui il consenso al trattamento fu reso.
Laddove, invece, il consenso dell’interessato è revocato il dato ripristina la sua natura di diritto indisponibile, rientrando nell’ambito del perimetro dei diritti della persona non più intesa in senso tradizionale, nome, immagine, reputazione ecc., ovvero come diritto alla privacy, ma nell’ambito più vasto delle sue relazioni e rapporti ossia dell’idea pubblica che ciascuno ha di se o di quella che ritiene che dovrebbe essere la rappresentazione pubblica di se e che la pubblicità del dato, invece, lede.
Il dato personale come elemento metagiuridico
Il dato personale, quindi, nella nuova prospettiva della normativa europea è un elemento metagiuridico in quanto se trattato con il consenso è merce, ma se il consenso viene revocato allora si ripristina, in forza di tale atto di manifestazione di volontà, la natura di diritto indisponibile, sicché, consegue evidente la particolare importanza e, quindi, la necessità di dover indicare nell’informativa i diritti dell’interessato.
Il primo è il diritto di sapere per quanto tempo il titolare tratterà i dati conferiti. Una nuova sfida per i titolari, che valutando ogni singolo trattamento, dovranno individuare ed indicare agli interessati nell’informativa, il periodo di conservazione dei dati, ossia il termine ultimo entro il quale i dati conferiti verranno cancellati dai loro data base. Qualora non sia possibile individuare un termine specifico, dovranno essere indicati i criteri utilizzati per determinare tale periodo.
Esattamente l’opposto di quanto sin ora avvenuto se si pensa che nell’attuale società dell’informazione la trasmissione dei dati è incontrollata anche in presenza di revoca del consenso e ciò anche dopo la decisione della Corte di Giustizia che ha stabilito l’obbligo, per i motori di ricerca, di soddisfare le richieste di rimuovere le chiavi di ricerca con il nome dell’interessato, che per essere rimossi devono essere valutati dal motore stesso come non più rilevanti e ciò sulla base del bilanciamento tra il diritto dell’individuo, il diritto di tutti a conoscere, e dei motori di ricerca di distribuire le informazioni.
Un radicale cambio di prospettiva
È di tutta evidenza che il cambio di prospettiva è radicale in quanto, la nuova normativa, prevede una valutazione preventiva (cd. privacy by design) ed il titolare sarà tenuto a fornire l’informazione all’interessato al momento della raccolta dei dati. Se fino ad oggi la comunicazione di questa informazione non era obbligatoria, ed era la normativa ad indicare i termini massimi per la conservazione dei dati, dal momento in cui il Regolamento diventerà efficace, in un’ottica di responsabilizzazione del titolare e di minimizzazione dei dati, entrambe orientate alla limitazione del rischio, il titolare sarà chiamato ad effettuare tale valutazione preliminare riguardo a ciascun trattamento da effettuare e dovrà stabilire il tempo dello stesso.
Il secondo è il diritto dell’interessato di sapere da quale fonte hanno origine i dati personali trattati dal titolare, qualora questi li abbia raccolti da un soggetto diverso dall’interessato stesso. Questo diritto, nuovo per la legislazione italiana, era già presente nelle legislazioni di altri Paesi europei, ed ha portato alla recente sanzione del colosso dei social-network Facebook. L’attuale Codice privacy prevede che, qualora l’interessato abbia acconsentito alla cessione dei propri dati a terzi, l’acquirente è obbligato a fornire solo un’informativa, senza essere tenuto ad indicare presso quale soggetto i dati sono stati acquisiti. Anche in questo caso il cambiamento si riverbererà nell’informativa e il Titolare, che ha raccolto i dati presso terzi, dovrà inviare all’interessato, al più tardi entro un mese, una informativa completa del soggetto presso cui li ha raccolti, così da consentire all’interessato di poterne avere il controllo.
Questi nuovi diritti, tra i tanti altri, costituiranno la piattaforma di verifica della capacità, della conoscenza e delle competenze del DPO in ordine alle misure da adottare in conformità con “……le prescrizioni del regolamento” e corrispondenti “……. misure tecniche e organizzative”. Solo all’esito positivo della verifica saremo in presenza di competenze e professionalità volta a rendere efficace la scriminante della responsabilità penale e amministrativa, anche se resterà sempre quella civile che si fonda sulla responsabilità ex art. 2051c.c., del danno cagionato dalle cose in custodia (dati). Quest’ultimi anche se saranno gestiti in conformità alle prescrizioni del regolamento e alle relative misure tecniche ed organizzative potrebbero sempre dare causa a responsabilità, salvo che si dia la prova (con inversione dell’onere) che il danno è stato prodotto da caso fortuito e sarà questa la cifra finale delle competenze del nominato RPD.