Privacy: ricordare i pilastri fondamentali

  • I fondamenti della Privacy

Ci capita spesso durante gli audit di notare come gli Studi e le aziende non siano così adese alla normativa come dovrebbero essere. Esiste ancora molta confusione sull’argomento. Molte volte troviamo carenze sugli aspetti di base, oppure incontriamo Professionisti che posseggono una documentazione perfetta ma non applicata, e viceversa.

Il nuovo Regolamento Europeo 2016/679 (GDPR) introduce molte novità, con un impatto importante sulle procedure organizzative, ma questo non significa cestinare quanto di valido esiste già. Allora, non conviene ritornare ad analizzare, capire ed applicare i fondamenti del Dlgs 196/03?

I pilastri della Privacy

Come noto l’Art. 1 cita: (1) CHIUNQUE HA DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI CHE LO RIGUARDANO, inoltre l’Art. 16 del (TFUE) Trattato sul Funzionamento dell’UE recita:
Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano; ed ancora l’Art. 8 (Protezione dei dati a carattere personale) della Carta dei diritti fondamentali dell’UE dichiara: Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.

Ma come richiesto dall’art Art. 3 (2) (Principio di necessità nel trattamento dei dati) del Dlgs 196/03, questi dati devono essere trattati. I sistemi informativi ed i programmi informatici devono essere configurati in modo da: RIDURRE AL MINIMO l’utilizzazione di dati personali ed identificativi; ESCLUDERNE IL TRATTAMENTO ove le finalità perseguite nei singoli casi possono essere realizzate mediante DATI ANONIMI/OPPORTUNE MODALITA’ che permettono di identificare l’interessato SOLO IN CASO DI NECESSITA’.

Quindi dobbiamo sempre considerare i quattro pilastri fondamentali: (3) liceità, (4) necessità, (5) proporzionalità e (6) finalità.

A questi macro pilastri aggiungiamo quanto dichiarato nell’articolo 11: Modalità del trattamento e requisiti dei dati.

1. I dati personali oggetto di trattamento sono:
a) Trattati in modo lecito e secondo correttezza;
b) (7) Raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) Esatti e, se necessario, aggiornati;
d) (8) Pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) Conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Consideriamo poi quanto richiesto dall’art 13: (9) Informativa e dall’art 23: (10) Consenso.

In questo ampio scenario inseriamo le misure minime ed idonee di sicurezza (art. 33 e allegato B) (11) ed i diritti dell’Interessato (art. 7) (12).

Allora, ecco che abbiamo definito i parametri fondamentali del trattamento dei dati personali elencato con i numeri tra le parentesi ed in rosso. Le altre attività derivano da questi fondamenti, come le lettere di nomina agli Incaricati e Responsabili, la formazione, l’analisi dei rischi, la policy aziendale, etc.

Costruire un Sistema di Gestione Privacy

Il nuovo Regolamento Europeo insiste sui punti fondamentali del trattamento dei dati personali, non per nulla introduce i concetti di Privacy by Design, Privacy by Default, Accountability, Privacy Impact Assessment etc.

Non dobbiamo quindi dimenticare cosa vuol dire effettuare un trattamento dei dati personali, ma neanche chi effettua tale trattamento. Ripartire dai concetti fondamentali (i pilastri), sui quali si basa un corretto Sistema di Gestione Privacy, aiuta sicuramente ad essere più formati, più conformi, più tutelati in un mondo dove il dato personale assume sicuramente valore.