A oltre un anno dalla prima applicazione del GDPR, permangono dubbi sulla portata di alcune definizioni da cui, però, dipende l’operatività o meno dell’intero impianto normativo.
L’art. 2 del GDPR, nel suo primo paragrafo, (ambito di applicazione materiale) chiarisce, ad esempio, che il regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Ma cosa s’intende per trattamento automatizzato/non automatizzato di dati personali e perché e necessario che i dati (nel trattamento manuale) siano archiviati ai fini dell’applicabilità del regolamento?
Il miglior modo per fare chiarezza è di partire, come sempre, dal dato normativo e nel caso di GDPR dai considerando.
Come noto, infatti, i “considerando” sono costituiti da una parte discorsiva, divisa in punti, che ha l’intento di spiegare compiutamente il senso dell’intero regolamento e di aiutare l’interprete nell’applicazione dei singoli articoli.
Ecco, il considerando 15 afferma che: “La protezione delle persone fisiche dovrebbe applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati personali sono contenuti o destinati a essere contenuti in un archivio.”
Aggiunge poi che “Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine.”
L’art. 2 del GDPR nel suo primo paragrafo, riproduce quanto affermato nella prima parte del considerando, imponendogli di conseguenza forza cogente.
In definitiva, pertanto, il GDPR si applica ai trattamenti interamente o parzialmente automatizzati e semplicemente per il fatto di avere questa caratteristica, oppure, al trattamento manuale sempre che i dati siano successivamente archiviati.
La definizione acquisisce ulteriore significato se posta in correlazione all’art. 4 par. 1 n.6, ai termini del quale per “archivio” debba intendersi “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”.
Trattamento automatizzato
In caso di trattamento automatizzato, come già detto, il GDPR troverà sempre applicazione. Ma quando un trattamento può dirsi interamente o parzialmente automatizzato?
Il regolamento europeo offre degli spunti interpretativi, soprattutto all’interno del considerando 71 e dell’art. 4 par. 4, ma lo fa in modo indiretto, parlando di profilazione che, in realtà, ha una portata diversa.
Una definizione degna di questo termine, ci è invece fornita dagli interpreti per eccellenza del GDPR e cioè dal WP29 che, nelle linee guida sul processo decisionale automatizzato e profilazione (WP251) hanno ben chiarito cosa s’intenda per trattamento automatizzato affermando che:
“Il processo decisionale esclusivamente automatizzato consiste nella capacità di prendere decisioni impiegando mezzi tecnologici senza coinvolgimento umano. Le decisioni automatizzate possono essere basate su qualsiasi tipo di dati, ad esempio:
• dati forniti direttamente dall’interessato (come le risposte a un questionario);
• dati osservati riguardo a una persona (come i dati relativi all’ubicazione raccolti tramite un’applicazione);
• dati derivati o desunti, come un profilo della persona che è già stato creato (ad esempio un punteggio sull’affidabilità creditizia).”
Conseguentemente, un trattamento parzialmente automatizzato è un trattamento automatizzato che prevede in qualche misura l’intervento umano.
In tutti questi casi, i rischi per le persone fisiche che potrebbero subire un pregiudizio concreto, sono molto elevati e in ciò trova giustificazione l’applicazione delle regole del GDPR.
Trattamento manuale
Una volta chiarito cosa sia il trattamento automatizzato, si comprende per converso in cosa consista il trattamento manuale dei dati. Un trattamento manuale è una qualsiasi operazione di trattamento (come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione) effettuato esclusivamente attraverso l’agere umano. Si ricorda inoltre che tale trattamento può essere effettuato sia in formato sia cartaceo che digitale.
In questo caso, perché i dati personali degli interessati trovino tutela occorre un quid pluris, ossia che i dati siano archiviati.
Ed infatti, tutto ciò che non è archivi(at)o, non soggiace alle regole del GDPR.
Una zona franca di informative, atti di nomina, registro dei trattamenti, senza obblighi in caso di data breach; un’isola felice che, ovviamente, fa gola a molti. La distinzione tra archivio e non archivio non è immediata né di facile interpretazione, soprattutto agli occhi di soggetti inesperti di GDPR e di chi si pone difronte a questa scelta in modo non equidistante.
Già Galileo Galilei nel 1623 teorizzava che l’archivio fosse composto da una pluralità di elementi materiali coordinati tra loro in modo da formare un complesso organico soggetto a date regole.
La questione, non di poco conto, ha interessato anche il Giudice comunitario che si è trovato a dover decidere, preliminarmente, proprio sulla definizione di archivio ai fini dell’applicabilità della normativa comunitaria.
Definizione di archivio
Un archivio è pertanto un sistema che consente a tutti i soggetti che siano stati messi a conoscenza delle regole a cui quel dato archivio risponde, di reperire facilmente i documenti; da ciò discende anche che la cosiddetta “miscellanea” intesa nella sua accezione di insieme di cose eterogenee riposte senza alcun criterio, esula dall’applicabilità del GDPR.
Vi è di più. A parte il requisito della strutturazione secondo criteri determinati, non sembra che il regolamento imponga altre condizioni, non prescrivendo né le modalità secondo cui l’archivio debba essere strutturato, né la forma che deve presentare; è pertanto evidente, come afferma anche la citata sentenza, che il requisito della strutturazione miri unicamente a consentire che i dati relativi ad una persona siano individuati facilmente e ciò a prescindere, addirittura, dall’esistenza di schedari o elenchi.
La nozione così data finisce per essere molto ampia e potenzialmente in grado di comprendere ogni tipologia di conservazione dei dati. Ogni volta che riponiamo un fascicolo in un luogo dove possiamo ritrovarlo con facilità, all’apparenza, lo stiamo archiviando.
Cloud, posta elettronica e protocollo
La questione si fa ancora più complicata nel caso di cloud, posta elettronica e protocollo.
Cercando su internet la definizione di cloud, quella maggiormente diffusa è: “spazio di archiviazione” nel caso di cloud storage; “paradigma di erogazione di servizi offerti on demand da un fornitore ad un cliente finale attraverso la rete Internet (come l’archiviazione, l’elaborazione o la trasmissione dati), a partire da un insieme di risorse preesistenti, configurabili e disponibili in remoto sotto forma di architettura distribuita” nel caso di cloud computing.
In entrambe le definizioni, è presente il termine archiviazione.
Anche le email in entrata e in uscita sono facilmente “individuabili” attraverso una semplice ricerca per parole chiave, al pari del protocollo che individua inequivocabilmente un dato documento.
A tutte le affermazioni sopra riportate è possibile replicare nello stesso modo e cioè sostenendo che, in realtà, si tratta di miscellanee.
Il cloud consente la conservazione dei documenti ma se nessuno ne stabilisce un’ordine, questi saranno archiviati in modo “confusionario” in base al momento in cui sono stati uplodati o modificati, allo stesso modo delle email e del protocollo.
A ciò si potrà ancora replicare che l’organizzazione in base ad una data, consiste già in una strutturazione del dato, che ne consente la sua reperibilità in modo “facile” e cioè senza troppi sforzi.
Non c’è una vera risposta. Gli interpreti siamo noi e, applicando nel miglio modo possibile il principio di accountability, dovremo determinarci al riguardo.