Dai trasferimenti dei dati a paesi terzi, passando per le responsabilità, fino ad arrivare alle disposizioni finali: ecco l’ultima parte dell’analisi dedicata alla privacy

La difficoltà per alcuni operatori di sposare nell’immediato un approccio al Regolamento secondo il principio anglosassone della accountability , ha forzato alcune interpretazioni che risentono di una lettura dello stesso attraverso la lente - sicuramente poco adatta - dal vecchio codice privacy, prima della novella intervenuta con il Dlgs 101/2018.

Gli articoli 33 e 34 forniscono, in capo ai titolari del trattamento, l’obbligo di comunicare all’autorità di controllo competente - in presenza di un probabile rischio per i diritti e le libertà degli interessati - il verificarsi di qualunque violazione dei dati personali. Deve trattarsi di irregolarità che comportino accidentalmente la divulgazione o l’accesso ai dati personali.

È sufficiente un rischio semplice per far sorgere il dovere di notifica all’Autorità, mentre è necessario un rischio “elevato” per attivare (anche) quello di comunicazione (agli interessati). In questo caso l’onere deve intervenire non entro un lasso di tempo temporale (72 ore) bensì entro uno spatium parametrato secondo senza ingiustificato ritardo .

Si tratta di una procedura che ha l’obiettivo di descrivere il trattamento dei dati, valutarne la necessità e la proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dalla loro gestione. L’inosservanza degli obblighi di valutazione comporta delle sanzioni pecuniarie.

Identificare i casi obbligatori di Dpia non è facile come sembra, necessitando di una fase preliminare descritta anche dai diversi Garanti europei. In “soccorso” per l’effettuazione di questa operazione ci sono le indicazioni delle diverse autorità nazionali, come quelle belga, francese e inglese .

Grande importanza riguarda poi chi esercita o promuove la propria attività commerciale attraverso il web. Può incorrere, infatti, nella violazione dell’articolo 35 del Gdpr con conseguente possibilità di essere punito con le pesanti sanzioni amministrative che possono arrivare nei casi più gravi fino a 10 milioni di euro.

L’introduzione del Rpd rappresenta una delle principali innovazioni del Regolamento. Proprio per lo svolgimento di una funzione così delicata, alla figura è richiesto il possesso dei requisiti di competenza specialistica in materia di protezione dei dati personali, in quanto all’Rpd spettano compiti di informazione, orientamento, consulenza, vigilanza e garanzia.

Il Rpd - per poter svolgere i rilevanti compiti d’informazione, consulenza, orientamento e sorveglianza a supporto di titolari e responsabili del trattamento, oltre che di interfaccia con gli interessati, nonché nei rapporti con l’Autorità - deve essere posto in condizione di operare con autonomia, capacità operativa e assenza di conflitto di interessi.

Negli ultimi dieci anni il progresso tecnologico ha determinato una rivoluzione e la nuova disciplina “ privacy” impone alle aziende e agli studi di ridisegnare la propria organizzazione tenendo presente che l’attuale sistema, diversamente da quello precedente, è basato sul concetto di accountability , cioè di responsabilizzazione.

Il trattamento dei dati in Paesi extra Ue sulla carta dovrebbe mantenere il più alto grado di riservatezza per i singoli. Tuttavia ci sono Stati che non posseggono una legislazione in materia di protezione dei dati personali e soprattutto un corpus normativo specifico che comunque possa essere equivalente a quello europeo.

Le clausole tipo rappresentano uno strumento già noto prima del Regolamento europeo per la protezione dei dati. Sono state utili zzate per i trasferimenti di dati personali all’estero da un responsabile del trattamento, per i trasferimenti personali all’estero da un titolare del trattamento a un altro titolare.

All’autorità di controllo spettano numerosi compiti di autorizzazione quali la sorveglianza e la concreta attuazione dell’applicazione del Regolamento. Deve fornire, inoltre, consulenza a norma del diritto degli Stati membri al parlamento nazionale in merito alle misure legislative e amministrative relative alla protezione dei diritti e della libertà delle persone fisiche.

L’istituzione dell’Autorità assume un ruolo che va ben oltre il controllo. La nuova figura è organo ispettivo e “tribunale”, ma è anche e prima un possibile partner privilegiato e qualificato, soprattutto nelle procedure di accountability e privacy by design previste dal Regolamento. Vista l’importanza, l’attività di vigilanza sarà svolta con gradualità.

Viene istituito uno sportello unico che gestisce in modo unitario tutti i trattamenti transfrontalieri facenti capo a un Titolare. Al tempo stesso è previsto un Comitato composto dalla figura di vertice di un’autorità di controllo per ciascun Stato membro e dal Garante europeo per la protezione dei dati.

La responsabilità per violazione della privacy continua a ispirarsi al modello italiano della responsabilità per esercizio di attività pericolosa di cui all’articolo 2050 del codice civile. Gli aspetti più delicati possono essere individuati principalmente nella risarcibilità del danno non patrimoniale.

Possiamo affermare che il cosiddetto public private enforcement consiste, principalmente, nell’attività amministrativa delle autorità garanti nonché nella previsione di sanzioni penali, previste dall’ordinamento italiano come consentito dalla normativa europea, e anche nella tutela dei diritti degli interessati.

Prima del 2018 la competenza per territorio era ancorata unicamente al «tribunale del luogo in cui ha la residenza il titolare del trattamento dei dati», ora il foro è divenuto alternativo. In linea con il Regolamento è stata infatti introdotta la competenza anche del «tribunale del luogo di residenza dell'interessato».

I rapporti tra il titolare del trattamento e il responsabile vanno regolati da un contratto scritto che, oltre a stabilire dei vincoli tra le due figure, preveda, nello specifico, la materia disciplinata, la durata del trattamento, la sua natura e finalità, il tipo di dati personali e le categorie di soggetti interessati cui le stesse informazioni si riferiscono.

Il Regolamento Ue non prevede direttamente sanzioni penali. Soltanto l’articolo 84, piuttosto laconicamente, si limita a indicare la possibilità di un trattamento penale, lasciando ampio spazio ai singoli Paesi membri, contemplando, di fatto, esclusivamente tre vincoli: effettività, proporzionalità e capacità dissuasiva.

L’articolo 85 del Gdpr si occupa della libertà di espressione. Viene ricordato come nell’attività giornalistica debba essere garantita la libertà a divulgare le notizie attraverso l’esercizio del diritto di cronaca e di critica. Sul piatto della bilancia, tuttavia, occorre mettere anche le prerogative dell’individuo a vedere “oscurati” i propri dati.

Nell’ambito delle disposizioni finali, alla Commissione Ue è riconosciuto il potere di adottare atti delegati che non hanno portata legislativa. Questo al fine di conseguire gli obiettivi del regolamento e in particolare tutelare i diritti e le libertà fondamentali delle persone fisiche, soprattutto in tema di protezione dei dati personali.