Complessità privacy: quando e perché un trattamento, pur essendo lecito, non è compliant e costituisce una violazione al GDPR

Il GDPR ha introdotto negli Ordinamenti degli Stati membri dell’UE un sistema affatto particolare che non contiene norme precettive ma piuttosto un insieme di principi e requisiti ai quali i “Titolari del trattamento” devono allineare le loro attività fin dalla progettazione.

Ne deriva che, per stabilire se un trattamento è “a norma”, non è sufficiente verificarne la liceità, i.e. la corrispondenza ad una norma giuridica ma è necessaria un’attenta analisi organizzativa volta a verificare la piena corrispondenza del trattamento stesso ai principi di protezione dei dati.

     Indice

  1. Il GDPR non contiene norme precettive
  2. Quando un trattamento è lecito ma non compliant
  3. Autonomia delle categorie e dei concetti della Privacy/Data Protection
  4. Necessario un cambio di mentalità

1. Il GDPR non contiene norme precettive

Spesso nell’ambito delle imprese e delle P.A. i responsabili di funzioni aziendali richiedono al DPO se una determinata attività che implica un trattamento di dati personali (che il più delle volte è già in fase di esecuzione) sia lecita e se possa essere tranquillamente eseguita in relazione alla normativa privacy.

Richieste di questo tipo non hanno alcun senso e comunque non possono essere riscontrate con una risposta univoca ed immediata, poiché il Regolamento (UE) 2016/679 (noto con l’acronimo GDPR: General Data Protection Regulation), principale riferimento normativo nel settore della protezione dei dati, non contiene norme precettive, i.e. non pone dettami che vanno conosciuti ed applicati, ma stabilisce piuttosto principi e requisiti a cui devono essere allineati i processi, i progetti e in generale tutte le attività che hanno ad oggetto dati personali.

Ne deriva che nell’ecosistema della Privacy/Data Protection non esistono regole generali ed astratte valide indistintamente per tutti i players.

Ogni organizzazione che riveste il ruolo di “Titolare del trattamento” non è semplicemente chiamata ad adempiere a norme giuridiche, ottemperando a precetti ma deve proteggere, rectius presidiare i dati personali e deve farlo bene, ponendo in essere, responsabilmente, misure organizzative e tecniche rispettose dei principi e dei requisiti fissati dal GDPR.

2. Quando un trattamento è lecito ma non compliant

Nello scenario descritto, un trattamento di dati personali potrebbe ben essere lecito, poiché fondato su una base giuridica adeguata ma non essere “a norma”, i.e. conforme (si dice “compliant”) alla normativa di settore, se non sono stati rispettati gli altri principi della protezione dei dati.

La liceità infatti è solo uno dei principi della protezione dei dati, da solo necessario ma non sufficiente a garantire la compliance.

Così, e.g. il trattamento dei dati personali di un lavoratore dipendente, eseguito nell’ambito di un’impresa o di una P.A., al fine di attuare un suo trasferimento, da una sede o da una funzione aziendale ad un’altra, potrebbe essere:

  1. lecito perché in linea con una norma prevista da una legge, da un regolamento o da un contratto collettivo nazionale;
  2. contestualmente non conforme al GDPR, perché non sono stati gestiti i rischi per i diritti e le libertà fondamentali e/o i dati personali utilizzati risultano, e.g. ridondanti in violazione del principio di minimizzazione o ancora, perché non è stato stabilito il periodo di conservazione dei dati stessi né è stata fornita l’informativa all’interessato e non sono state adottate le misure di sicurezza necessarie a garantire l’integrità e la riservatezza dei dati.

Potrebbero interessarti anche:


3. Autonomia delle categorie e dei concetti della Privacy/Data Protection

I Garanti Europei hanno anche chiarito[1] che le categorie ed i concetti del sistema Privacy, come e.g. quelli di “Titolare del trattamento” e “Responsabile del trattamento”, sono concetti autonomi nel senso che, la loro interpretazione dovrebbe basarsi principalmente sul GDPR e non su fonti esterne all’Ordinamento Eurounitario, come quelle del diritto nazionale. Così e.g., il concetto di “Titolare del trattamento” non dovrebbe essere confuso con altri concetti, talvolta contrastanti o coincidenti, propri di altri campi del diritto, come quello di autore o di titolare dei diritti in materia di proprietà intellettuale o di diritto della concorrenza.

E ancora, non è possibile confondere (talvolta considerandoli anche sinonimi) il principio di accountability con la discrezionalità amministrativa o il ruolo di Responsabile del trattamento” con la figura del “procurator” del diritto privato nazionale.

4. Necessario un cambio di mentalità

Questo sistema così particolare richiede quindi un cambio di mentalità.

La privacy, intesa come sistema di regole volto a proteggere i diritti e le libertà delle persone fisiche e in particolare il diritto alla protezione dei dati personali, è una materia complessa che richiede una grande attenzione ed una conoscenza specialistica della relativa normativa e delle relative prassi [2], per non rischiare di pregiudicare una piena adesione ai principi e alle regole della protezione dati, che costituiscono un necessario presupposto per assicurare la tutela dei diritti e delle libertà fondamentali delle persone fisiche.[3]

Volume consigliato:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €


Note

  • [1] Punto 13 delle Linee Guida EDPB 7/2020 versione 2.0.
  • [2] Vds. Art.37, paragrafo 5 GDPR.
  • [3] Così testualmente il GPDP nel provv. n. 186 del 29 aprile 2021  [doc. web n. 9589104].

Giuseppe Alverone

Scrivi un commento

Accedi per poter inserire un commento