Foto di hyku rilasciata sotto licenza cc https://www.flickr.com/photos/hyku/368912557

Privacy, nuovo regolamento Eu. Il Garante: “Entro il 2018 la PA si adegui su tre priorità”

di Francesco Modafferi, Dipartimento libertà pubbliche e sanità, Garante per la protezione dei dati personali – Cantiere Sanità digitale

 

Quando nel maggio 1997 nacque il Garante per la protezione dei dati personali[1], l’arduo compito di guidare l’Autorità nel delicato momento in cui, per la prima volta, l’Italia si confrontava con questa nuova (e impegnativa) disciplina fu affidato dal Parlamento a una straordinaria figura che sapeva coniugare, al più alto livello, profondità di pensiero giuridico, capacità di comunicazione e carisma personale: Stefano Rodotà.

L’entrata in vigore della Legge n. 675 del 31 dicembre 1996 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” ha comportato un enorme cambiamento sia per il settore pubblico che per quello privato: «Non è enfatico sottolineare, infatti, come la protezione dei dati personali incarni una disciplina pervasiva e capillare, trasversale se davvero ve n’è una, che tocca ogni aspetto dell’organizzazione pubblica e privata, e della stessa vita quotidiana»[2].

Un cambiamento radicale e sicuramente troppo rapido se si pensa che tra la l’approvazione (31 dicembre 1996) e l’entrata in vigore della legge (8 maggio 1997) sono trascorsi meno di cinque mesi: «proprio per il grandissimo ritardo accumulato nell’attuare una seria disciplina dei dati personali, l’Italia è di colpo passata da una protezione ridottissima ad una assai elevata che realizza gran parte delle indicazioni contenute nella Direttiva europea 95/46 alla quale, con una scelta coraggiosa e lungimirante, il Parlamento ha deciso di dare immediata attuazione. Il salto è stato grande: e per questo era necessario favorire un adattamento da parte di chi, da troppo tempo, era abituato a trattare le informazioni sulle persone come se si trattasse di cosa propria, della cui utilizzazione non doveva rendere alcun conto»[3].

Gli effetti di questo drastico passaggio sono stati pesanti e, in parte, condizionano ancora oggi il rapporto con la materia: di fronte alla necessità di adottare, in un brevissimo lasso di tempo, tutti i nuovi adempimenti previsti dalla legge, l’approccio dei titolari del trattamento fu di tipo formalistico. Il sistema, senza sforzarsi di comprendere le reali finalità della nuova disciplina, vi si adattò controvoglia.

La conseguenza fu una percezione marcatamente burocratica della “privacy” da parte del cittadino che iniziò a ricevere informative sul trattamento dei propri dati e a dover rilasciare il proprio consenso a tale attività sulla base di formule spesso assai poco comprensibili e talvolta tautologiche[4].

Alla ormai prossima vigilia di un’altra rilevante tappa nel settore della protezione dei dati personali, con la definitiva applicazione del Regolamento (UE) 2016/679 è fondamentale sfruttare tutti gli insegnamenti delle esperienze passate per evitare di commettere gli stessi errori.

Si dirà che l’impatto delle rinnovate regole europee, caratterizzate per molti aspetti da profili di continuità con quelle precedenti, non è paragonabile a quello che a suo tempo si determinò per effetto dell’introduzione nel Paese della nuova disciplina.

Eppure il cambiamento è maggiore di quanto venga generalmente percepito ed è quindi fondamentale comprenderne il senso più profondo evitando di focalizzarsi solo sugli aspetti più superficiali o sui singoli adempimenti.

In questa ottica, il principale aspetto su cui centrare l’attenzione è l’introduzione del principio di “responsabilizzazione” (accountability)[5]; esso comporta non solo il rispetto delle regole formali, dei principi applicabili al trattamento dei dati personali, dei diritti degli interessati e la definizione chiara dei ruoli e delle responsabilità, ma anche la capacità di comprovare tutto ciò. La responsabilità del titolare del trattamento dipende quindi anche dalla dimostrazione dell’avvenuto rispetto delle regole. Maggiore libertà dunque, rispetto al passato, da specifici adempimenti e autorizzazioni preventive da parte dell’Autorità, ma anche più responsabilità.

La nuova disciplina richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018. Per sostenere il cambiamento in atto, il Garante ha avviato un’attività di supporto ai titolari del trattamento appartenenti al settore pubblico e privato. In particolare, ha invitato le pubbliche amministrazioni a una serie di incontri nei quali sono state indicate tre priorità: identificazione del responsabile della protezione dei dati personali-RPD (anche detto privacy officer); implementazione delle procedure interne per l’istituzione dei registri dei trattamenti; definizione delle procedure necessarie alla rilevazione, registrazione e comunicazione, quando necessario, delle violazioni dei dati personali (data breach).

Al primo posto quindi, in ambito pubblico, assume rilievo la figura del responsabile della protezione dei dati che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. Esso può quindi costituire il fulcro del processo di attuazione del principio di “responsabilizzazione”.

Considerato che tutte le pubbliche amministrazioni dovranno avere un RPD, eventualmente anche condiviso tra le stesse (questo vale soprattutto per gli enti di piccole dimensioni), il Garante ha raccomandato di prevedere il coinvolgimento di questa figura in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, sottolineando i requisiti che deve avere relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l’esecuzione dei compiti) e autonomia (dotazione di risorse umane e finanziarie adeguate).

In uno scenario sempre più caratterizzato, anche in ambito pubblico, da un utilizzo di dati personali senza precedenti, la formazione di una rete diffusa di competenze in materia di privacy potrà rivelarsi essenziale per assicurare il rispetto del diritto alla protezione dei dati personali.

Questo risultato però non sarà automatico e potrà essere raggiunto solo se si saprà interpretare l’essenza del cambiamento in atto, evitando di fermarsi, come in passato, alla forma. Quale chiusura per questa breve riflessione possiamo evocare le parole pronunciate da Stefano Rodotà nella sua ultima relazione al Parlamento “Sappiamo che libertà e diritti sono, insieme, forti e fragilissimi. Vivono non nelle forme giuridiche alle quali sono affidati, ma nella capacità di uomini e istituzioni di dare ad essi attuazione, di difenderli contro insidie e attacchi ai quali sono incessantemente esposti”[6].

 

 


[1] Autorità istituita per effetto di quanto previsto dall’art. 30 della Legge 31 dicembre 1996, n. 675

[2] Dal discorso di presentazione della relazione al Parlamento per il 1997 da parte del Presidente del Garante per la protezione dei dati personali, disponibile sul sito del Garante www.garanteprivacy.it

[3] Ibidem

[4] Per contrastare questa percezione, nel 2003 il Garante ideò un apposito spot televisivo disponibile su www.garanteprivacy.it [doc web 42689]

[5] Considerando n. 74 e art. 5 del Regolamento (UE) 2016/679.

[6] Dal discorso di presentazione della relazione al Parlamento per il 2004 da parte del Presidente del Garante per la protezione dei dati personali, disponibile sul sito del Garante www.garanteprivacy.it

 

 

 

 

 

Foto di hyku rilasciata sotto licenza cc https://www.flickr.com/photos/hyku/368912557