L'entrata in vigore, il 25 maggio 2018, del Regolamento europeo in materia di dati personali (GDPR), ha posto nuovi oneri a carico di professionisti e aziende ed ha dato nuova linfa al tema della privacy. 

I cambiamenti sono numerosi e possono avere un impatto sensibile sulla ordinaria amministrazione di una società. È dunque consigliabile adottare un sistema di gestione che preveda un'integrazione della privacy nella stabile organizzazione aziendale, agendo su due livelli:

  • dotando la propria azienda di tutta la documentazione formale necessaria per tutelare gli interessati del trattamento;
  • integrando gli strumenti già esistenti in azienda con la privacy (codici di condotta, certificazioni, istruzioni, procedure, formazione del personale etc.).

In primo luogo è bene ricordare che la protezione dei dati personali e l'inviolabilità della privacy quale sfera personale dell'individuo, proprio per l'importanza del diritto tutelato, è stata già oggetto di numerose disposizioni, nazionali e comunitarie, tutt'oggi vigenti. Nell'ambito della tutela della privacy, quindi, si dovrà tener conto dell'intero sistema normativo esistente e non solo del Regolamento comunitario. Il GDPR si occupa di disciplinare il trattamento dei dati personali, prevedendo una serie di adempimenti da porre in essere a tutela degli stessi e definendo ruoli e figure chiave in ambito di privacy.

Il punto di partenza è necessariamente la definizione di "dato personale" che, ai sensi dell'art. 4, par. 1, n. 1 del GDPR consiste in: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale

La protezione dei dati personali ha quindi lo scopo di tutelare un diritto soggettivo che, come tale, riguarda i dati relativi alle sole persone fisiche.

Altre figure chiave del processo del trattamento dei dati sono il Titolare ed il Responsabile del Trattamento.

Il primo è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4. par. 1, n. 7 GDPR).

Il Responsabile del Trattamento è invece la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR).

Infine è opportuno chiarire la definizione di "Trattamento dei dati" che, di fatto, consiste in "qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali".

In sostanza, ogni volta che si effettua un'operazione sui dati personali (ad es. salvataggio dei dati su pc, utilizzo dei dati per mailing list etc.) ci si muove nel campo del GDPR e si dovrà quindi seguire la normativa comunitaria in materia.

In questo caso le indicazioni su come e perché effettuare il trattamento saranno dettate dal Titolare del trattamento, che sarà anche il soggetto che risponderà di eventuali inadempimenti.

L'obiettivo del GDPR, infatti, non è quello di vietare o limitare il trattamento dei dati personali, ma di fare in modo che il trattamento avvenga lecitamente, ossia che rispetti le disposizioni normative.

A riguardo è fondamentale trattare i dati previa individuazione di una base giuridica, che normalmente è il consenso dell'interessato ma che può anche essere costituita dal contratto di prestazione d'opera/servizio, da un obbligo legale o da un legittimo interesse.

In particolare, il consenso al trattamento dei dati, ottenuto in forma scritta o digitale dall'interessato, è necessario per dimostrare la liceità del trattamento, posto che l'onere della prova di aver ottenuto il consenso spetta al Titolare del Trattamento; nella prassi, tuttavia, si registrano ancora molti inadempimenti proprio sotto questo profilo, con conseguenti multe da parte dell'Autorità.

Una delle principali novità introdotte dal GDPR, che determinano un'implicazione diretta e pratica nella realtà aziendale, è l'introduzione del principio dell'accountability (responsabilizzazione), che ha determinato l'inversione dell'onere probatorio dall'Autorità al Titolare del trattamento.

In altre parole mentre prima dell'entrata in vigore del GDPR era obbligo del Garante della Privacy provare l'inadempimento del titolare, ora dovrà essere il Titolare a dimostrare di aver correttamente adempiuto.

Tra le altre novità vi sono:

  • l'ampliamento della nozione di "dato personale";
  • la previsione di informative più dettagliate;
  • la limitazione dell'uso di dati personali come impostazione predefinita (privacy by default);
  • la progettazione di sistemi per limitare l'uso dei dati personali (privacy by design), una stretta sulla profilazione che sarà possibile solo previo espresso e separato consenso dell'interessato, l'introduzione della figura del Responsabile dei dati personali, del Registro dei Trattamenti e della Valutazione d'Impatto.