La mia attività mi porta a frequentare diversi gruppi di lavoro sul GDPR ed a partecipare a numerosi eventi sullo stesso tema. L’impressione che ne ricavo è che la maggior parte di chi partecipa a tali avvenimenti non abbia in realtà mai letto il testo di una normativa privacy, sia che si tratti di quella attualmente in vigore, sia che si tratti del GDPR.
Questo stato di cose è molto deleterio in quanto spesso vengono posti quesiti assolutamente inutili (tipico quello sul diritto all’oblio ed i dati personali trattati in base ad un adempimento contrattuale…) o vengono fatte affermazioni che denotano una conoscenza della materia molto superficiale (c’è chi ancora confonde la PROTEZIONE con la SICUREZZA o che dichiara che si è passati dalla PRIVACY alla PROTEZIONE dei dati personali, dimenticando che anche l’attuale normativa italiana è un Codice sulla PROTEZIONE dei dati personali) e molto altro ancora.
La lettura del testo di legge è invece fondamentale per tutti coloro che si occupano o che dovranno occuparsi di privacy nella propria azienda in quanto la materia è troppo articolata e complessa e richiede una sinergia fra le diverse figure professionali presenti in azienda. Ad esempio la definizione di una policy sui tempi di conservazione dei dati deve tener conto della specifica architettura informatica presente in azienda (si veda al riguardo il mio post Il periodo di conservazione dei dati personali). Decidere ad esempio di conservare un dato in funzione della sola finalità che prevede il tempo più elevato è formalmente scorretto, in quanto devono essere messe in atto misure tecniche/organizzative per impedire che lo stesso dato possa essere utilizzato anche per altre finalità che abbiano tempi di conservazione più limitati, ovvero che lo stesso sia cancellato se presente in più archivi dedicati a finalità con tempi di conservazione diversificati.
La definizione della policy deve essere una attività collegiale che coinvolga da subito legali, organizzativi ed informatici. In tale contesto è tuttavia indispensabile che anche chi si occupa di organizzazione e di informatica attui un’attenta, personale e diretta lettura della normativa.
Solo così è possibile avere una corretta e completa visione delle implicazioni di ogni singolo adempimento evitando i rischi dell’effetto PowerPoint[1].
In tale contesto non va inoltre dimenticato che si deve avere una visione complessiva della normativa privacy, mentre ci si è troppo concentrati sul GDPR, dimenticando che una buona parte del D.Lgs 196/03 non è direttamente impattato da tale normativa.
Ad esempio, pur essendo corretto formalmente preoccuparsi in sede di mappatura finalizzata alla realizzazione del registro delle attività di trattamento dei dati dei soli interessati, ai fini del rispetto della normativa privacy sarebbe più opportuno considerare anche altri soggetti, quali ad esempio i contraenti e utenti, che rivestono un ruolo molto importante nelle attività di marketing e il cui trattamento è regolato da altre normative (si veda al riguardo il mio post Marketing e GDPR).
In Italia siamo abituati a confrontarci con un unico testo normativo che racchiude adempimenti previsti da diverse Direttive europee. Dobbiamo invece abituarci a ragionare in termini europei e leggere direttamente i testi di tali Direttive.
Questo può risultare molto utile anche per comprendere la valenza dell’attuale GDPR, che in diversi punti è molto più simile alla Direttiva 95/46/CE che non al testo del nostro D.Lgs 196/03.
Tale confronto può essere una guida alla corretta interpretazione della reale volontà del legislatore.
Consideriamo ad esempio l’articolo 22 del GDPR Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione e confrontiamolo con l’originale articolo 15 della Direttiva 95/46:
Direttiva 95/46/CE – Articolo 15 Decisioni individuali automatizzate
1 Gli Stati membri riconoscono a qualsiasi persona il diritto di non essere sottoposta ad una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti fondata esclusivamente su un trattamento automatizzato di dati destinati a valutare taluni aspetti della sua personalità, quali il rendimento professionale, il credito, l’affidabilità, il comportamento, ecc.
2 Gli Stati membri dispongono, salve le altre disposizioni della presente direttiva, che una persona può essere sottoposta a una decisione di cui al paragrafo 1, qualora una tale decisione:
a) sia presa nel contesto della conclusione o dell’esecuzione di un contratto, a condizione che la domanda relativa alla conclusione o all’esecuzione del contratto, presentata dalla persona interessata sia stata accolta, oppure che misure adeguate, fra le quali la possibilità di far valere il proprio punto di vista garantiscano la salvaguardia del suo interesse legittimo, oppure
b) sia autorizzata da una legge che precisi i provvedimenti atti a salvaguardare un interesse legittimo della persona Interessata
GDPR – Articolo 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
1.L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
2.Il paragrafo 1 non si applica nel caso in cui la decisione:
a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
c) si basi sul consenso esplicito dell’interessato.
3.Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
4.Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.
I due articoli sono molto simili e francamente la formulazione utilizzata nella Direttiva del comma 1 appare più esplicativa della generica e criptica formulazione dell’articolo 14 del D.Lgs 196/03 che presumo pochi conoscano (anche perché, come spesso accade nella normativa attuale, non vi alcuna sanzione per il mancato rispetto di tale prescrizione).
Art. 14. Definizione di profili e della personalità dell’interessato
1 Nessun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell’interessato.
2 L’interessato può opporsi ad ogni altro tipo di determinazione adottata sulla base del trattamento di cui al comma 1, ai sensi dell’articolo 7, comma 4, lettera a), salvo che la determinazione sia stata adottata in occasione della conclusione o dell’esecuzione di un contratto, in accoglimento di una proposta dell’interessato o sulla base di adeguate garanzie individuate dal presente codice o da un provvedimento del Garante ai sensi dell’articolo 17.
Analogamente l’articolo 8 della Direttiva 95/46/CE nella formulazione dei dati particolari[2] appare molto più lineare e simile, salvo qualche integrazione innovativa al GDPR che non l’articolata formulazione dei dati sensibili presenti nel D.Lgs 196/03.
Direttiva 95/46/CE – Articolo 8 Trattamenti riguardanti categorie particolari di dati
Gli Stati membri vietano il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.
2 Il paragrafo 1 non si applica qualora:
a) la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che Il consenso della persona Interessata non sia sufficiente per derogare al divieto di cui al paragrafo 1, oppure
b) il trattamento sia necessario, per assolvere gli obblighi e i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui il trattamento stesso sia autorizzato da norme nazionali che prevedono adeguate garanzie, oppure
c) il trattamento sia necessario per salvaguardare un interesse vitale della persona Interessata o di un terzo nel caso ln cui la persona interessata è nell’incapacità fisica o giuridica di dare il proprio consenso; o
d) il trattamento sia effettuato, con garanzie adeguate, da una fondazione, un’associazione o qualsiasi altro organismo che non persegua scopi di lucro e rivesta carattere politico, filosofico, religioso o sindacale, nell’ambito del suo scopo lecito e a condizione che riguardi unicamente i suoi membri o le persone che abbiano contatti regolari con la fondazione, l’associazione o l’organismo a motivo del suo oggetto e che i dati non vengano comunicati a terzi senza il consenso delle persone interessate; o
e) il trattamento riguardi dati resi manifestamente pubblici dalla persona interessata o Sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria.
GDPR – Articolo 9 Trattamento di categorie particolari di dati personali
1.È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2.Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
c)il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
In conclusione quindi, come spesso ripeto agli allievi dei miei corsi, invito tutti a leggere con attenzione il testo delle normative e non limitarsi ad assistere a convegni o a leggere articoli.
[1] Le semplificazioni di norma introdotte nel corso delle presentazioni possono portare a reiterare messaggi ed interpretazioni errate della normativa.
[2] Da notare quindi che la definizione di dato particolare in luogo di dato sensibile non è una novità, ma è una semplice riconferma del termine usato nella normativa di riferimento.