Photo by arvin febry on Unsplash

GDPR, ecco quali sono i nuovi diritti degli utenti

di Michele Gorga, avvocato

 

La prospettiva minimalista per l’attuazione del GDPR (General Data Protection Regulation), ossia del nuovo Regolamento Europeo n. 679/2016, non trova alcun sostegno  dall’art. 28 della legge 20 novembre 2017 n. 167 – in vigore il 12 dicembre 2017 – che ha modificato i rapporti tra il titolare e il responsabile del trattamento dei dati personali e stabilito che compiti e funzioni dovranno essere  stipulati in forma scritta. Una norma che, come le altre previste dal regolamento,  è restata orfana in questa legislatura oramai terminata dei necessari decreti legislativi oltre che di quanto stabilirà, nell’alveo delle proprie competenze, l’autorità garante.

Ad oggi  si stima che circa il 60 % dei soggetti obbligati siano ancora  inadempienti nelle nomina del RPD (DPO) e che la percentuale sale ulteriormente se si pensa alla riprogettazione della organizzazione interna, alle necessarie modifiche da apportare agli assetti strutturali, di Enti ed imprese. Ciò richiederà la ricognizione e la valutazione delle misure di sicurezza normative, organizzative e tecnologiche delle Pubbliche Amministrazioni e delle Aziende, che ne evidenzieranno il grave ritardo all’adeguamento alle disposizioni del regolamento e certificheranno il ritardo dell’intero paese di agganciarsi alla locomotiva europea, guidata dalla Germania, già molto avanti nel processo di implementazione del RGPD.

Il Regolamento Europeo in materia di protezione dei dati attribuisce, infatti,  agli interessati nuovi diritti, nuove facoltà e nuove prerogative. Nella nuova configurazione  il principio chiave è la liceità del trattamento dei dati se e in quanto l’interessato ha dato un esplicito consenso al trattamento. In tale prospettiva il dato personale assume la funzione e, quindi, la natura di merce che il titolare del trattamento può utilizzare, valutare, trasmettere sempre però sulla base del rispetto dei principi generali di proporzionalità, adeguatezza, pertinenza e non eccedenza rispetto alle finalità per cui il consenso al trattamento fu reso.

Laddove, invece, il consenso dell’interessato è revocato il dato ripristina la sua natura di diritto indisponibile, rientrando nell’ambito del perimetro dei diritti della persona non più intesa in senso tradizionale, nome, immagine, reputazione ecc., ovvero come diritto alla privacy, ma nell’ambito più vasto delle sue relazioni e rapporti ossia dell’idea pubblica che ciascuno ha di se o di quella che ritiene che dovrebbe essere la rappresentazione pubblica  di se e che la pubblicità del dato, invece, lede. Il dato personale, quindi, nella nuova prospettiva della normativa europea è un elemento metagiuridico in quanto se trattato con il consenso è merce, ma se il consenso viene revocato allora si ripristina, in forza di tale atto di manifestazione di volontà, la natura di diritto indisponibile, sicché, consegue evidente la particolare importanza e, quindi, la necessità di dover indicare nell’informativa i diritti dell’interessato.

Il primo è il diritto di sapere per quanto tempo il titolare tratterà i dati conferiti. Una nuova sfida per i titolari, che valutando ogni singolo trattamento, dovranno individuare ed indicare agli interessati nell’informativa, il periodo di conservazione dei dati, ossia il termine ultimo entro il quale i dati conferiti verranno cancellati dai loro data base. Qualora non sia possibile individuare un termine specifico, dovranno essere indicati i criteri utilizzati per determinare tale periodo.

Esattamente l’opposto di quanto sin ora avvenuto se si pensa che nell’attuale società dell’informazione la trasmissione dei dati è incontrollata anche in presenza di revoca del consenso e ciò anche dopo la decisione della Corte di Giustizia che ha stabilito l’obbligo,  per  i  motori di ricerca, di soddisfare le richieste di rimuovere le chiavi di ricerca con il nome dell’interessato, che per essere rimossi devono essere valutati dal motore stesso come non più rilevanti e ciò sulla base del bilanciamento tra il diritto dell’individuo, il diritto di tutti a conoscere, e dei motori di ricerca di distribuire le informazioni.

E’ di tutta evidenza che il cambio di prospettiva è radicale in quanto, la nuova normativa,  prevede una valutazione preventiva (cd. privacy by design) ed il titolare sarà tenuto a fornire   l’informazione all’interessato al momento della raccolta dei dati. Se fino ad oggi la comunicazione di questa informazione non era obbligatoria, ed era la normativa ad indicare i termini massimi per la conservazione dei dati, dal momento in cui il Regolamento diventerà efficace, in un’ottica di responsabilizzazione del titolare e di minimizzazione dei dati, entrambe orientate alla limitazione del rischio, il titolare sarà chiamato ad effettuare tale valutazione preliminare riguardo a ciascun trattamento da effettuare e dovrà  stabilire il tempo dello stesso.

Il secondo è il diritto dell’interessato di sapere da quale fonte hanno origine i dati personali trattati dal titolare, qualora questi li abbia raccolti da un soggetto diverso dall’interessato stesso. Questo diritto, nuovo per la legislazione italiana, era già presente nelle legislazioni di altri Paesi europei, ed ha portato alla recente sanzione del colosso dei social-network Facebook. L’attuale Codice privacy prevede che, qualora l’interessato abbia acconsentito alla cessione dei propri dati a terzi, l’acquirente è obbligato a fornire solo un’informativa, senza essere tenuto ad indicare presso quale soggetto i dati sono stati acquisiti. Anche in questo caso il cambiamento si riverbererà nell’informativa e il Titolare, che ha raccolto i dati presso terzi,  dovrà inviare all’interessato, al più tardi entro un mese, una informativa completa del soggetto presso cui li ha raccolti, così da consentire all’interessato di poterne avere il controllo.

Questi nuovi diritti, tra i tanti altri, costituiranno  la piattaforma  di verifica della capacità, della conoscenza e delle competenze  del RPD  in ordine alle  misure da adottare in conformità con “……le prescrizioni del regolamento”  e corrispondenti “…….  misure tecniche e organizzative”. Solo all’esito positivo della verifica saremo in presenza di competenze e professionalità volta a rendere efficace la scriminante della responsabilità penale e amministrativa,  anche se  resterà sempre quella civile che si fonda sulla responsabilità ex art. 2051c.c., del danno cagionato dalle cose in custodia (dati). Quest’ultimi  anche se saranno gestiti in conformità alle prescrizioni del regolamento e alle relative misure tecniche ed organizzative potrebbero sempre  dare causa a  responsabilità, salvo che si dia la prova ( con inversione dell’onere)  che il danno è stato prodotto da caso fortuito e sarà questa la cifra finale delle competenze del nominato RPD.

 

Foto di arvin febry