Recepimento del Regolamento UE 2016/679: tutele rafforzate, dati genetici, biometrici e sulla salute

Redazione 11/01/19
di Maurizio Lucca

Le indicazioni comunitarie sul trattamento dei dati personali hanno generato una rivisitazione della normativa italiana e delle misure di sicurezza da adottare, sia in termini informativi, sia di gestione dei dati recependo un nuovo linguaggio giuridico più coerente con il presente, anche con riferimento alle tecniche normative e ai poteri sovrani della governance dello sviluppo economico, nei meccanismi di self-executing.

Il decreto legislativo 10 agosto 2018, n. 101, di recepimento del Regolamento (UE) 2016/679 relativo alla protezione e libera circolazione dei dati personali delle persone fisiche (GDPR), interviene nella disciplina nazionale riscrivendo il “Codice in materia di protezione dei dati personali” (ex decreto legislativo 30 giugno 2003, n. 196), in relazione alla rapidità dell’evoluzione tecnologica (ai sistemi di I.A., intelligenza artificiale) che esige la creazione e il sostegno di un clima di fiducia comunitario che consentirà (questo nei primi “Considerando” del Regolamento) lo sviluppo dell’economia digitale in tutto il mercato interno.

Gli strumenti informatici nella P.A.

La sempre più crescente connessione dei servizi on line e il legame tra gli strumenti informatici con l’esercizio di una funzione pubblica, se da una parte, consente una partecipazione maggiore dei cittadini ai processi decisionali, con un controllo sociale sull’attività pubblica e sull’utilizzo delle risorse pubbliche (la c.d. trasparenza sul modello FOIA, Freedom of Information Act, immesso nell’ordinamento con il d.lgs. n. 33/2013), dall’altra parte, il trattamento dei dati personali risulta maggiormente esposto ad una serie di rischi (vedi, il c.d. data breach, la violazione dei dati) che possono compromettere la riservatezza (the right to be let alone), incidendo sui diritti di libertà e la democrazia (Cambridge Analytica, ha dimostrato i limiti delle misure di sicurezza adottate).

Appare evidente che le indicazioni comunitarie sul trattamento dei dati personali, in questo scenario di migrazione e trasferimento globale di bit (binary digit o cifratura binaria), si rifletta in una rivisitazione del tessuto normativo e delle misure di sicurezza da adottare, sia in termini informativi (ad esempio, di acquisizione del consenso al trattamento e di designati) e sia in termini di gestione dei dati (ad es., nomina del data protection officer, c.d. DPO, registro dei trattamenti e cybersecurity), recependo un nuovo linguaggio giuridico più coerente con il presente, anche con riferimento alle tecniche normative e ai poteri sovrani della governance dello sviluppo economico, nei meccanismi di self-executing (suscettibile di applicazione immediata nell’ordinamento interno dei singoli Paesi).

In questo senso, già l’articolo 1 «oggetto» del Codice conferma che «il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016», aggiungendo, proprio per rimarcare il perimetro valoriale sotteso, «nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona»: la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale della Carta dei diritti fondamentali dell’Unione europea (ex art. 8 paragrafo 1) e del Trattato sul funzionamento dell’Unione europea (ex art. 16, paragrafo 1), contribuendo alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche (“Considerando” 1 e 2 del Regolamento).

Risulta, pertanto, vitale regolamentare in modo trasparente e dinamico il trattamento dei dati personali, definendo una politica di tutela che possa coniugare la diffusione massiccia di informazioni, dati e documenti con la riservatezza delle persone, essendo ormai lo sviluppo economico ancorato alle tecnologie digitali per il loro ruolo «di intermediari sempre più esclusivi tra produttori e consumatori e per le implicazioni che le tecnologie data intensive, l’intelligenza artificiale, la big data analytics hanno sulla dinamica dei mercati, al crocevia tra economia dell’informazione e della condivisione. La distribuzione e la natura di questo potere hanno generato una inedita domanda di garanzie e, insieme, il timore di una progressiva riduzione degli spazi di libertà ed intimità individuale che hanno rappresentato il fondamento consolidato delle democrazie liberali del ventesimo secolo… Proprio le straordinarie potenzialità delle nuove tecnologie esigono, infatti, uno statuto di regole capace di restituire alla persona quella centralità altrimenti negata dall’economia fondata sullo sfruttamento dei dati».

Garante per la tutela dei dati personali

Pare giusto, allora, rammentare che in generale, secondo le indicazioni del Garante per la tutela dei dati personali, i dati personali devono essere:
– adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati);
– esatti e, se necessario, aggiornati;
– coerenti con misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (esattezza);
– trattati in maniera da garantire un’adeguata sicurezza dei dati personali;
– assicurare la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (integrità e riservatezza).

L’unificazione di un quadro giuridico unitario, da parte dell’Unione europea, e il suo atteggiarsi a livello nazionale in sintonia con tale ridimensionato contesto normativo, hanno imposto una ristrutturazione del “Codice in materia di protezione dei dati personali” (di seguito riportato semplicemente come “Codice”), incidendo sui principi, sulle modalità di trattamento, sul riaffermamento delle tutele (accordando tutela ai minori vittime di cyberbullismo), sui diritti dell’interessato, sull’accesso civico, sul rapporto di lavoro e curriculum, approdando sul rivisto sistema sanzionatorio e la nuova conformazione del Garante per la protezione dei dati personali.
(continua a leggere…)

Redazione

Scrivi un commento

Accedi per poter inserire un commento