Privacy: “Una rivoluzione che non può coglierci impreparati”
Per poter affrontare in modo efficace un argomento come quello della privacy è necessario prima di tutto, porre un veloce ma attento sguardo all'evoluzione del contesto economico sociale e tecnologico, nazionale ed internazionale.
In passato le strutture economiche, statali e sociali erano contraddistinte da una certa "stabilità" mentre attualmente stiamo vivendo in quella che viene definita società "liquida".
In tale tipo di società "l'esperienza individuale e le relazioni sociali sono segnate da caratteristiche e strutture che si vanno decomponendo rapidamente, in modo vacillante e incerto, fluido e volatile".
Tale possibile veloce decomposizione porta con sé ingenti rischi soprattutto dal punto di vista sociale.
Sicuramente, uno dei simboli di tale "liquidità" è rappresentato da internet; si ritiene utile segnalare che verso la metà degli anni 90 e quindi, quando lo sviluppo capillare di internet ebbe inizio, le istituzioni iniziarono a intravedere i rischi che un suo determinato uso poteva portare e cominciarono quindi a porsi, in modo sempre più pregnante il problema della tutela della privacy.
La legge sulla Privacy in Italia
Il nostro paese, per rispettare gli accordi di Schengen e dare attuazione alla direttiva 94/46/CE del parlamento europeo e del consiglio del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personal, il 31 dicembre 1996 emanò la legge n.675 che entrò in vigore nel maggio 1997 e istituì un ente dedicato al compito di sorvegliare l'applicazione di tale norma (Garante della Privacy).
Si segnala che fino a questa data, il nostro paese era considerato come un luogo privilegiato, per tutti coloro che volevano trattare e usare i dati personali senza particolari limitazioni.
A tale normativa, sono seguiti vari interventi del legislatore fino ad arrivare all'avvento del famoso "Codice della privacy" (Codice in materia dei dati personali) che ha raccolto in un unico testo tutta la normativa in materia di privacy, dando una certa organicità alla materia.
Si ritiene particolarmente utile mettere in luce, soprattutto in vista del cambiamento epocale che vivremo fra qualche mese, che tale norma all'allegato B prevede una serie di misure minime per far sì che il contenuto di tale legge sia rispettato.
Il cambiamento epocale di cui sopra, è costituito dalla “piena applicazione” del regolamento Privacy UE 2016/679 che avverrà il 25-05-2018.
Tale testo ha avuto un "periodo di gestazione" particolarmente lungo in quanto è stato concepito nel 2012 è entrato in vigore nel 2016 e nel 2018 giungerà alla sua "piena maturazione".
Da un primo sguardo, a tale norma si evince che nonostante quest'ultima sia un regolamento, ha il linguaggio tipico della normativa e quindi non si leggono toni imperativi ma suggerimenti, raccomandazioni e consigli.
Tale aspetto non deve trarre in inganno e far pensare a una regolamentazione "più leggera" rispetto al passato perché in realtà è esattamente il contrario in quanto tale norma è plasmata dal principio " accountability” (responsabilizzazione")
Espressione di tale principio è espressa dall'art 24 del regolamento che prevede che:
"Il Titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina. Le misure da adottare vanno valutate di volta in volta, tenendo in considerazione una serie di elementi tra cui la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche."
Da questo punto di vista, in sintesi ed in altre parole il regolamento prevede che i titolari ed i responsabili del trattamento dei dati, dovranno dimostrare di aver adottato tutte le misure per proteggere le informazioni personali che gestiscono e tale gestione dovrà seguire i criteri sopra indicati.
Nasce la figura del Data Protection Officer
Il regolamento affida la gestione di tali dati al “Data Protection Officer” che sarà colui che all’interno dell’azienda si occuperà della gestione della “privacy” ed il cui incarico dovrà essere disciplinato tramite un contratto scritto o altro atto giuridico (stipulato in forma scritta, anche in formato elettronico) a norma del diritto dell’UE o degli Stati membri, che vincoli entrambe le due figure, e dovrà prevedere la materia disciplinata, la durata del trattamento, la natura e le finalità del trattamento nonché il tipo di dati personali e le categorie di interessati a cui gli stessi dati si riferiscono.
Secondo molti soggetti, le aziende potranno avvalersi di un consulente esterno per l’analisi e la mappatura dei rischi e la realizzazione di un modello di gestione di tali dati mentre la gestione operativa di tali dati dovrà essere affidata ad un “Data Protection Officer” opportunamente formato.
Di conseguenza la privacy, diventerà una vera e propria funzione aziendale.
Altro aspetto importante disciplinato dal regolamento è quello relativo alla “contitolarità del dato” che è disciplinato dall’articolo 26 del regolamento:
“Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.”
Si segnala che in base al secondo comma di tale articolo, il “contenuto essenziale dell'accordo è messo a disposizione dell'interessato.”
Infine nell’ambito delle procedure antiriciclaggio, le operazioni di identificazione e di registrazione di dati relativi al cliente ed il trattamento di tali dati personali rientra nell’ambito dell’applicazione della disciplina della privacy.
E’ utile precisare che attualmente, si è in attesa di un intervento del legislatore che potrebbe avvenire con la forma del decreto legislativo, che colmerà i vuoti creati dalla piena applicazione del citato regolamento stabilendo cosa e come rimarranno in vigore aspetti dell’attuale normativa.
In conclusione, alla luce della piena applicazione del regolamento Europeo ogni azienda, dovrà fare un analisi/mappatura della gestione dei dati trattati e conseguentemente realizzare un modello di gestione coerente con le disposizioni del regolamento ed affidare la gestione di tali dati al Data Protection Officer.
Milano, 26/10/2017
Mirko Preti, Analista di Produzione Business Defence.