Privacy, una stagione di fede assoluta

Con l’adozione il 25 maggio del Regolamento Ue 2016/679 GDPR si è aperta una stagione di grandi riforme per la protezione dei dati personali.

Se si esamina il framework normativo comunitario nel suo insieme, inizia finalmente a trasparire la finalità del regolatore UE, che opera per la costruzione di un’economia europea dei dati, favorendo la libera circolazione degli stessi nel rispetto di quelli personali.

Si è chiamati ad assumere il giusto grado di responsabilizzazione (accountability) come esperti, operatori, giuristi, imprese, P.A. ed interessati.

Dal 19 settembre poi, con l’entrata in vigore del D.Lgs. 10.8.2018 n. 101, la normativa italiana si adegua al GDPR imponendo ad imprese e P.A. il rispetto di prescrizioni nazionali e comunitarie.

Il D.Lgs. 101/2018 ha in parte abrogato il D.Lgs. 196/2003 (Codice della privacy) ed inciso su importanti temi, come introduzione di nuovi reati (trattamento, comunicazione e diffusione illecita, acquisizione fraudolenta di dati, false dichiarazioni al Garante, inosservanza dei suoi provvedimenti); consenso al trattamento dei dati dei minori; modalità semplificate di adempimento per le PMI; estensione dell’obbligo di nominare il DPO; estensione della tutela sulla diffusione dei provvedimenti giudiziari; aggiornamento delle norme su accesso e trasparenza amministrativa.

Ed il confronto si estende anche alla giurisprudenza, chiamata ad una prevedibile attività di supplenza nella interpretazione.

In particolare, sulla nomina e specifica preparazione del DPO, la Sez. I del TAR Friuli (sent. 13.9.2018 n. 287) ha rilevato che “la certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva … non costituisce … titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR”. Ha osservato infatti il TAR che “la minuziosa conoscenza della disciplina di settore resta … il nucleo essenziale ed irriducibile della figura professionale ricercata … il cui profilo … non può che qualificarsi come eminentemente giuridico”. La sentenza rivela anche molto di più sul ruolo e sulle sensibilità che deve avere il DPO, il quale assume “la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai … alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali” e ciò, si badi, “indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo”.

In effetti quindi – nella scelta del professionista – al di là delle abilitazioni (mai escludenti, in ossequio al favor partecipationis) va valutato anche il grado di sensibilità nella “digital ethics” che il DPO deve aver sviluppato, in quanto tutore del diritto fondamentale alla protezione dei dati personali anche in caso di utilizzo lecito del dato stesso. Il mercato unico digitale richiede un quadro giuridico chiaro e l’eliminazione di incertezze giuridiche ed etiche create dalle nuove tecnologie (Big Data, Intelligenza Artificiale, Internet Of Things, Blockchain…). Il rispetto di queste regole passa anche – ed imprescindibilmente – per il rispetto dei diritti fondamentali dell’individuo.

Avvocato Claudio Maria Lamberti – amministrativista – Data Protection Officer

Fonte:  https://www.ildenaro.it/privacy-stagione-fede-assoluta/