di Sara Lusi – La nuova normativa europea sulla privacy, entrata in vigore il 25 maggio scorso con il Regolamento (UE) 2016/679, ha rivoluzionato la materia della protezione dei dati ponendo da un lato norme relative alla protezione delle persone fisiche con riguardo al trattamento dei loro dati personali, dall’altro costruendo un sistema capace di favorire la libera circolazione dei dati.
In quest’ottica, il legislatore europeo ha inteso accrescere la responsabilizzazione dei titolari del trattamento che, insieme agli interessati, sono i protagonisti indiscussi del sistema regolatorio, all’interno di un processo che passa da un livello statico ad uno certamente dinamico. In questo senso, si è parlato anche di costituzionalizzazione dell’autodeterminazione informativa che, quale diritto fondamentale, attribuisce all’interessato incisivi poteri di controllo e intervento sull’agire dei titolari.
Si comprende, pertanto, come il nuovo quadro normativo superi la previgente visione prescrittivo-autorizzativa – che informava di sé i trattamenti e, in particolare, il rapporto tra titolari e Autorità di controllo – per avvicinarsi sempre più ad un approccio sostanzialistico, che accentua fortemente la cosiddetta accountability, a tutela dei diritti e delle libertà degli interessati.
Non può tacersi, tuttavia, che lo stesso Regolamento, nel quarto considerando, ricorda che il diritto alla protezione dei dati non è una prerogativa assoluta, dovendo essere considerato alla luce della sua funzione sociale. L’interprete dovrà quindi operare un costante bilanciamento con altri diritti fondamentali, alla luce del principio di proporzionalità che informa di sé l’intera disciplina.
Ciò posto, non può tacersi che l’aspetto di cui più si è discusso negli ultimi mesi, non senza una certa preoccupazione da parte degli operatori, è il carico di adempimenti che i titolari del trattamento sono chiamati a porre in essere, implementando una serie di comportamenti proattivi finalizzati alla tutela dei dati e, in ultima istanza, degli interessati.
A tal riguardo, si possono annoverare: l’analisi preventiva e l’impegno applicativo prima e dopo il trattamento (c.d. privacy by default e privacy by design), le misure di sicurezza, la notifica e la comunicazione delle eventuali violazioni dei dati (c.d. data breach), nonché, laddove necessari, la valutazione dell’impatto del trattamento, il registro costantemente aggiornato e la nomina di un responsabile per la protezione dei dati (c.d. “Data Protection Officer”).
Con particolare riferimento a quest’ultimo, non sarà inutile evidenziare in questa sede come la nomina del DPO potrebbe essere considerata una best practice, anche per le fattispecie che non rientrano nel campo di applicazione dell’art. 37, par. 1 del Regolamento. Ciò significa che l’individuazione di una figura di garanzia potrebbe essere consigliabile anche per quelle realtà private le cui attività principali non consistano nel monitoraggio regolare e sistematico degli interessati su larga scala o nel trattamento su larga scala di categorie particolari di dati.
Va ricordato, in questo senso, che la nuova normativa europea richiede ai titolari di implementare misure tecniche e organizzative adeguate da un lato per garantire che il trattamento sia conforme al Regolamento, dall’altro per essere in grado di dimostrare la stessa compliance. E certamente, la nomina di un DPO anche laddove non ne sia previsto l’obbligo – così come l’adesione a codici di condotta o a meccanismi di certificazione – potrebbe essere ritenuto un elemento dimostrativo degli sforzi posti in essere dal titolare a tutela dei dati trattati.
Ma il nuovo impianto normativo non può certo essere risolto in un elenco di adempimenti. Vi sono, infatti, importanti novità che mirano invece ad agevolare la creazione di un mercato unico digitale all’interno dell’UE, come ad esempio la positivizzazione del diritto alla portabilità dei dati, che consente all’interessato di richiedere al titolare i propri dati in un formato strutturato, di uso comune e leggibile da un dispositivo automatizzato e successivamente trasmetterli ad un altro titolare.
Siamo però solo all’inizio di un processo importante che troverà una compiuta definizione solo quando il cambio di mentalità cui sono chiamati i titolari e i responsabili del trattamento sarà in concreto realizzato e gli obblighi su essi gravanti saranno considerati quali effettive misure di garanzia piuttosto che meri adempimenti burocratici.
L’argomento merita di essere approfondito non solo monitorando l’impatto applicativo che la nuova disciplina sta avendo sull’assetto organizzatorio-gestorio delle pubbliche amministrazioni e delle realtà private, ma anche osservando come le Autorità di controllo e gli organismi europei – attraverso l’importantissima attività di soft law che è loro demandata – interpreteranno le ricadute applicative della nuova disciplina. Un lavoro, insomma, che è appena iniziato.