CAMPO DI APPLICAZIONE MATERIALE: I LIMITI DI APPLICAZIONE

di | 30 September 2015

Il nuovo regolamento UE sulla privacy (testo di giugno 2015) ridefinisce quello che è il campo di applicazione materiale rispetto a quanto previsto dall’attuale normativa italiana, come recita l’articolo 3: Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. In particolare l’ambito di applicazione del Regolamento è il trattamento di dati personali. Riprendendo le definizioni del Regolamento abbiamo in quanto a trattamento: 3) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la memorizzazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, (…) la limitazione, la cancellazione o la distruzione; 3 bis) “limitazione del trattamento”: contrassegno dei dati personali memorizzati con l’obiettivo di limitarne il trattamento in futuro; ed in quanto dato personale: “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente (…), con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line o a uno o più elementi caratteristici della sua identità genetica, fisica, fisiologica, psichica, economica, culturale o sociale; Quali sono gli elementi significativi del cambiamento per i soggetti tenuti a rispettare il nuovo Regolamento in Italia? Per capirlo è necessario analizzare il contenuto delle definizioni dell’attuale Dlgs 196/03. La formulazione utilizzata nella 196/03 è infatti alquanto ampia ed una interpretazione letterale ha delle conseguenze estremamente onerose per i Titolari che operano in Italia. La 196/03 considera infatti quale dato personale: b) “dato personale”, qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; e quale trattamento: a) “trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; La differenza a prima vista può sembrare esigua, ma nella attuale formulazione italiana praticamente in ogni momento della vita professionale o privata si effettua un qualche trattamento di dati personali e quindi si è soggetti alle prescrizioni normative. Va infatti ricordato che:

  • anche se la normativa tutela le sole persone fisiche (ad eccezione di quanto previsto nel Titolo X – Comunicazioni elettroniche, che tutela tutti i soggetti) in realtà nel rapporto fra l’azienda Alfa e l’azienda Beta le uniche informazioni non tutelate dalla norma sono quelle specificatamente riferite all’azienda Alfa o all’azienda Beta. Infatti l’azienda Alfa dovrà tutelare fra gli altri non solo i dati personali del propri collaboratori, ma anche quelli dei collaboratori dell’azienda Beta, quali ad esempio il numero di telefono o l’indirizzo e-mail. Analoghi adempienti saranno simmetricamente in carico all’azienda Beta;
  • che anche il privato cittadino deve sempre rispettare almeno gli articoli 15 Danni cagionati per effetto del trattamento e 31. Obblighi di sicurezza del Dlgs 196/03, salvo dover rispettare l’intera normativa se i dati sono destinati ad una comunicazione sistematica o alla diffusione.

Un elemento discriminante è l’introduzione, nell’ambito di applicazione materiale previsto dal nuovo Regolamento; di due diversi casi: • trattamento interamente o parzialmente automatizzato • trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. Mentre il primo punto appare sufficientemente chiaro (ammesso di capire cosa si intenda per automatizzato) il secondo punto porta ad escludere dalla tutela ampi ambiti di trattamento dei dati personali, così come anticipato dal considerando numero 13. considerando 13)La tutela delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dipendere dalle tecniche impiegate; in caso contrario, si correrebbero gravi rischi di elusione. La protezione delle persone fisiche deve applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati sono contenuti o destinati ad essere contenuti in un archivio. Non dovrebbero rientrare nel campo di applicazione del presente regolamento i fascicoli o le serie di fascicoli, e le rispettive copertine, non strutturati secondo criteri specifici. La definizione di archivio riportata nell’articolo 4 chiarisce meglio l’ambito di esclusione: 4) “archivio”: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico; Le conseguenze di questa limitazione nella protezione possono essere a mio avviso molto significative. Sono tantissimi gli esempi che si possono fare; per quale motivo ad esempio diffondere dati personali mediante l’affissione di un cartello scritto a mano o con una macchina da scrivere meccanica (quindi senza l’uso di trattamenti automatizzati) dovrebbe essere diverso dal farlo mediante un cartello realizzato con un programma di elaborazione testi? Le definizioni del nuovo Regolamento semplificano quindi da un lato gli adempimenti per i Titolari che trattano dati in Italia, ma introducono elementi di ambiguità che non tarderanno a creare problemi di univoca interpretazione. Il rigore della norma italiana, pur con effetti a volte paradossali, aveva sicuramente il pregio di lasciare pochi spazi interpretativi. È pertanto opportuno, perlomeno per i Titolari che trattano dati in Italia e che hanno messo in atto misure di tutela estensive per i dati personali in base alla vigente normativa, mantenere il presidio su tutti i loro trattamenti, indipendentemente dal fatto che siano o meno automatizzati.

Categoria: Legal framework Tag: , , , ,

Informazioni su Giancarlo Butti

Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes. Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360. He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.