Negli anni d’oro dei social e di Instagram, in cui impazzano immagini omogeneizzate ed hashtag tutti uguali, sembrerebbe anacronistico parlare di privacy. Infatti, se da un lato i legislatori europei sono tutti intenti ad arginare l’onda alta dei big data con nuove norme, dall’altro, più di un quarto della popolazione mondiale ha un profilo su FB e rincorre la popolarità in un like. In questa dimensione da villaggio globale, dallo scorso 25 maggio, ha fatto irruzione in Italia il Regolamento UE 2016/679, relativo al trattamento ed alla protezione dei dati personali, nonché alla loro libera circolazione, e fatto partire il countdown per l’emanazione del Decreto di armonizzazione della normativa italiana con quella europea, conclusosi pochi giorni fa con la pubblicazione del D. Lgs. n. 101/2018 in Gazzetta Ufficiale. L’importanza di questo Regolamento, vincolante in tutti gli Stati membri, si coglie meglio se valutiamo la portata della profilazione di utenti e consumatori.
Alla base dell’algoritmo dei social network, ci sono non a caso profilazione e micro-targetizzazione. Specie quest’ultimo strumento di marketing fa sì che le strategie delle campagne pubblicitarie ed elettorali, grazie ad una puntuale profilazione nelle abitudini di consumo di molti cittadini, siano costruite in modo sartoriale, person-by-person, e quindi non siano rivolte ad un pubblico indistinto, ma a ciascuno, andando a colpire in maniera subliminale e diretta ed a condizionare i nostri comportamenti. Si parla tanto di pubblicità comportamentale (behavioural advertising) e di attività di microtargeting, ma va considerato che anche se la percezione del rischio di essere manipolati on line sembra svincolata dalla vita di molti, nei fatti la complessità della tecnologia e del web, chiama tutti a prestare particolare attenzione rispetto all’utilizzo dei propri dati.
Partendo da queste considerazioni, il nuovo Regolamento del Parlamento Europeo e del Consiglio del 27 aprile 2016, n.679 dà avvio ad un nuovo corso della gestione della privacy, maggiormente basata sul trattamento leale dei dati, su informazioni complete delle motivazioni che spingono alla raccolta degli stessi, nonché del loro ambito di diffusione; sull’invito ad implementare codici di condotta destinati ad incentivare l’attuazione del Regolamento e quindi a far sì che imprese ed Enti adeguino i propri standard comportamentali ed organizzativi. Il Regolamento è perciò evidente che affronti la questione della sicurezza dei dati personali in modo sistemico, secondo la logica di un Sistema di Gestione, ed imponga l’inserimento nel labour market di professionisti esperti di management, tra cui spicca il DPO (Data Protection Officer), figura indipendente e terza che si interfaccia con l’Autorità Garante.
A distanza di 20 anni dalla Direttiva madre in materia (95/46/CE), il GDPR riformula in modo sostanziale l’approccio al tema e tra gli elementi essenziali pone il consolidamento di diritti già esistenti, l’introduzione di nuovi diritti, quali p. es. il diritto all’oblio ed il diritto alla portabilità del dato personale, il principio di responsabilizzazione (accountability) del Titolare e del Responsabile, il rafforzamento dei poteri dell’Autorità Garante, specie sotto il profilo sanzionatorio, con la possibilità di comminare sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato, ma ciò che va evidenziato è che il GDPR si colloca come leva d’Archimede nella diffusione di una “cultura privacy”, finora sottostimata.
Sulla base di quanto statuito dal Reg. 679/2016, traghetta quindi nel nostro ordinamento il Decreto di adeguamento n. 101 del 4 settembre 2018 (http://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg) che entrerà in vigore il prossimo 19 settembre, rimodulando il Codice Privacy ed il D. Lgs. 196/2003 nelle parti confliggenti con la normativa europea.
Alcune delle novità del Decreto Legislativo n.101 relativo alla protezione dei dati personali riguardano:
- in ambito sanitario, il venir meno dell’obbligo di consenso quando i dati sono trattati per finalità di diagnosi e cura (art. 2-septies del Codice privacy emendato dal DLgs 101/2018 in combinata lettura con l’art. 9 GDPR), passando da un sistema “consensocentrico” ad un sistema in cui occorre prima chiedersi e capire quali siano le ragioni per cui i dati sono trattati, per poi valutare, alla luce della finalità identificata, il fondamento di liceità di tale trattamento;
- l’irrobustimento delle consultazioni pubbliche ed il coinvolgimento delle categorie interessate rispetto alle regole deontologiche, si pensi ad esempio alle attività giornalistiche, il Garante promuove l’adozione da parte del Consiglio nazionale dell’Ordine dei giornalisti di regole deontologiche relative al trattamento dei dati specie quelli afferenti la salute o l’orientamento sessuale, restando tuttavia fermi i limiti del diritto di cronaca a tutela dei diritti;
- il Garante ha il potere di introdurre meccanismi di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, con riferimento agli obblighi del titolare del trattamento;
- si registra la depenalizzazione della figura di reato di cui all’art. 169 del previgente Codice, non essendo più previste le misure di sicurezza minime;
- in materia penale, viene altresì prevista l’introduzione di nuove fattispecie come l’art. 167-bis in caso di comunicazione o diffusione illecita di dati personali oggetto di trattamento su larga scala e l’art. 167-ter in caso di acquisizione fraudolenta di dati personali sempre su larga scala;
- i diritti dell’interessato possono essere limitati in caso di pregiudizio per altri interessi normativamente tutelati: antiriciclaggio, sostegno alle vittime di estorsione, ragioni di giustizia;
- il trattamento di dati genetici, biometrici e relativi alla salute dovrà rispettare misure di garanzia che saranno stabilite ogni due anni dal Garante: il provvedimento che adotta tali misure sarà sottoposto a consultazione pubblica per non meno di 60 giorni, permettendo quindi alle parti sociali di partecipare al processo;
- alcuni compiti e funzioni in capo al Titolare o al Responsabile possono essere delegati a persone fisiche operanti sotto la loro autorità;
- il minore che ha compiuto quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione;
- i diritti della persona deceduta possono essere esercitati da chi abbia un interesse proprio o agisca a tutela dell’interessato o da un mandatario;
- l’interessato può proporre reclamo al Garante, il quale decide sullo stesso entro 9 mesi dalla presentazione, o proporre ricorso dinanzi all’autorità giudiziaria. Le controversie in materia sono regolate dal rito rito del lavoro;
- per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.
*Avvocato – Data Protection Officer Certificato e Nominato presso Strutture Sanitarie