È da due anni che parliamo il linguaggio della protezione dei dati. Facciamo il punto.

La protezione dei dati personali è un diritto fondamentale dei cittadini, da garantire, allo stesso modo, in tutto il territorio dell’Unione Europea. Il Trattato di Lisbona prima e l’avvento del GDPR poi, hanno contribuito allo sviluppo digitale dell’Europa, ponendo la tutela dei dati personali e della loro libera circolazione, quale punto di partenza fondamentale per la definizione di qualsiasi, successiva azione.

Non solo. Il Regolamento europeo per la protezione dei dati ci permette parlare un “unico linguaggio” per la definitiva armonizzazione in materia di protezione dei dati personali all’interno dell’Unione europea.

A due anni dalla sua piena esecutività, facciamo il punto.

 

La nascita

Il Regolamento europeo per la protezione dei dati vede la luce nella Gazzetta Ufficiale europea il 4 maggio 2016 per poi entrare in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi, a partire dal 25 maggio 2018.

In Italia la normativa per la protezione dei dati personali si completa con il Codice privacy (d.lgs. n. 196 del 2003) e il d.lgs. n.101 del 2018 con il quale si adegua il Codice al Regolamento.

 

La rivoluzione

Con il regolamento europeo si passa dalla libera circolazione del dato, in base alla quale si può trattare solo con il consenso, ad una percezione di controllo del dato, che ne favorisce la libera circolazione.

L’interessato assume un ruolo centrale: i suoi diritti si rafforzano. Acquisisce una sorta di “superpotere”: è in grado di conoscere, in qualsiasi momento, se i suoi dati sono utilizzati, per quale scopo e in che modo. Secondo il principio di minimizzazione è altresì possibile stabilire quali dati possono essere trattati e quali no. Lo scopo è di tutelare non solo l’interessato, ma l’intera collettività dai rischi insiti nelle diverse tipologie di trattamento dei dati. Un’impostazione che sorpassa i concetti di privacy e riservatezza.

Al contrario, il nuovo regolamento pone l’accento sulla trasparenza, rimarcando l’attenzione sulla definizione esplicita della finalità del trattamento. Ecco perché gli obblighi sono carattere proattivo, a dimostrazione della concreta, e non meramente formale, adozione del regolamento stesso. In tale ottica la predisposizione e l’aggiornamento della documentazione è essenziale.

Il regolamento, quindi, ha spostato il fulcro della normativa dalla tutela dell’interessato alla responsabilità del titolare e dei responsabili del trattamento , il c.d. principio di accountability.

 

Un primo bilancio

A due anni dall’entrata in vigore del GDPR, è possibile percepire un “ammodernamento” generale nella gestione delle informazioni, grazie ad un approccio più rispettoso e trasparente.

La portata del regolamento ha investito sicuramente i colossi del web, così come le realtà più piccole, che hanno attraversato un periodo (non privo di difficoltà) alle prese con l’esigenza di adattare le proprie modalità operative al concetto di accountability.

In Italia si registrano progressi significativi in tema di adeguamento alla normativa, con aumenti nel budget a disposizione delle organizzazioni e crescita di maturità, in termini di concretezza dei progetti e di cambiamenti organizzativi mirati. La complessità e l’importanza della materia richiedono comunque ed ancora continui sforzi di adeguamento ai principi imposti dalla normativa e alle indicazioni dell’Autorità nazionale.
Tuttavia, nel periodo più recente si è assistito a un’intensificazione dei controlli e delle ispezioni e all’applicazione delle prime sanzioni previste dalla normativa locale e sovranazionale in materia di protezione dei dati.

 

L’adeguamento al GDPR è un percorso continuo

Quasi la totalità delle aziende italiane ha messo in atto o perfezionato progetti di adeguamento al GDPR. Tuttavia, molte realtà registrano ancora difficoltà dal punto di vista organizzativo, ad esempio, nell’individuazione e definizione dei ruoli e delle responsabilità. Molte di queste non hanno ancora un DPO, figura fondamentale ai fini di un adeguamento completo al GDPR e figura super partes e punto di contatto con l’Autorità Garante.

A distanza di due anni le regole ci sono e vengono applicate, ma l’azione normativa soffre ancora di diversi ostacoli. Sicuramente c’è stata un’evoluzione e il valore dei dati personali ha assunto una connotazione differente e di conseguenza anche l’Autorità nazionale viene interpellata in modo più intenso e più specifico.

Certamente il regolamento, si è rivelato uno strumento fondamentale, soprattutto in questo periodo, per guidare i funzionari e le autorità di sanità pubblica nella risposta alla crisi sanitaria europea (e globale). Non è ancora abbastanza, poiché viene confusa, ancora oggi, la protezione dei dati con il concetto di privacy (la riservatezza).

La normativa tende a valorizzare invece la protezione e la circolazione dei dati personali. E sul punto abbiamo ancora tanta strada da fare…

Un caffé con…

Pillole di aggiornamento gratuite della durata di un quarto d’ora su specifiche tematiche al centro del dibattito su digitalizzazione e protezione dei dati personali.
Ti aspettiamo domani per una pausa di aggiornamento in compagnia dell’Avv. Anna Rahinò su “Test sierologici sul posto di lavoro: I chiarimenti del Garante

Appuntamento su piattaforma Digitalaw Academy alle ore 11:00
Per info e iscrizioni consulta questa pagina