Protezione dei dati personali: questione anche di diverso approccio culturale?
ROMA – Assicurare la protezione dei dati personali – intendendosi con essi, ai sensi del regolamento (UE) 2016/679, qualsiasi informazione riguardante l’interessato ossia una persona fisica identificata o identificabile – è attività indubbiamente complessa, che si ritiene richieda, oltre che le competenze tecniche necessarie, anche la diffusa affermazione di una sensibilità (attenzione) al tema del trattamento dei dati personali e, più in generale, la maturazione di una “cultura della privacy”.
In merito al primo aspetto, vale a dire alle difficoltà operative e fattuali che si è chiamati ad affrontare quando si effettua una qualsiasi attività di trattamento di dati personali, può essere di aiuto provare a rispondere a una serie di quesiti e a osservare alcuni principi chiave. Innanzitutto, occorre interrogarsi sull’esistenza di una o più condizioni (basi o presupposti giuridici) che legittimano al trattamento dei dati personali dell’interessato. Tra tali condizioni, rilevano il consenso dell’interessato, l’esecuzione di un contratto di cui lo stesso è parte, l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui si è investiti. Ma posto che ci sia una o più di dette condizioni legittimanti, bisogna anche chiedersi, contestualmente e parallelamente, in quale veste si è soggetti attivi (autori) del trattamento dei dati personali dell’interessato. Anche qui, semplificando, tale veste è quella di “titolare del trattamento” o, in alternativa, di “responsabile del trattamento”.
Il titolare del trattamento è il soggetto autore del trattamento (normalmente una persona fisica o giuridica o un’autorità pubblica) che determina le finalità (il “perché”) e i mezzi (il “come”) del trattamento dei dati personali; è dunque il dominus del trattamento e, insieme all’interessato, elemento indefettibile dello stesso, non potendo esserci trattamento senza che vi sia chi tratti i dati personali e la persona fisica i cui dati siano trattati. Il responsabile del trattamento, invece, è il soggetto autore del trattamento (ordinariamente una persona fisica o giuridica o un’autorità pubblica) che tratta i dati del titolare del trattamento, in nome e per conto di quest’ultimo (delegante), avendo ricevuto in dote da questi la/le condizione/i legittimanti il trattamento. Avere chiaro in quale veste si opera è di fondamentale importanza, perché definisce il ruolo e, con esso, l’ambito di competenza e operatività (funzioni) nel trattamento dei dati personali, il rapporto con l’interessato, le responsabilità in merito all’osservanza degli obblighi derivanti dal regolamento (UE) 2016/679.
È buona norma, inoltre, avere sempre presenti due principi da applicare in qualsiasi attività di trattamento, che sono quelli secondo cui lo stesso deve essere, rispetto alle finalità perseguite: non eccedente e pertinente, relativamente ai dati personali “comuni” (dati identificativi, di contatto, ecc.); indispensabile, relativamente ai dati personali c.d. sensibili (tra cui i dati genetici, biometrici, concernenti la salute o la vita sessuale o l’orientamento sessuale della persona) e c.d. giudiziari (inerenti a reati e condanne), per i quali, a fronte di un divieto generale di trattamento, lo stesso, laddove normativamente ammesso in deroga, deve essere realmente necessario e proporzionato alle finalità stesse.
Infine, è opportuno non perdere mai di vista la novità più significativa introdotta dal regolamento (UE) 2016/679 ossia l’affermazione del “principio di accountability”, che equivale a un nuovo modo di approcciare la protezione dei dati personali in quanto sono rimesse all’apprezzamento del titolare del trattamento (“responsabilizzazione”) la valutazione e la scelta delle misure minime di sicurezza (giuridiche, tecniche e organizzative) da applicare al trattamento dei dati, in ragione dell’ambito e delle finalità dello stesso nonché della probabilità e gravità dei rischi connessi. Ed è anche per tale ultima ragione che si ritiene che la privacy, che persegue ai sensi del regolamento (UE) 2016/679 la finalità di tutelare le libertà e i diritti fondamentali delle persone fisiche con riguardo ai dati personali delle stesse, richieda nel nostro Paese un diverso approccio culturale.