Gdpr: General Data Protection Regulation.
La questione Privacy è stata negli ultimi mesi al centro di un acceso dibattito sia a livello europeo che internazionale. L’audizione del fondatore di Facebook sulle elezioni Americane la dice lunga. Per salvaguardare il diritto alla riservatezza e uniformare le leggi sulla Privacy è stato emanato il Regolamento UE 2016/679 noto come GDPR acronimo di General Data Protection Regulation.
Il Regolamento nasce dalla esigenza di garantire certezza giuridica in ordine al trattamento dei dati personali sia all’interno dell’Unione Europea sia quando vengono trasferiti i dati di un soggetto da un paese membro verso paesi terzi.
I dati che riguardano un soggetto sono stati definiti nel GDPR “asset fondamentale”, cioè beni non riproducibili, difficilmente ricostruibili, che sono detenuti attraverso un rapporto di “fiducia” da tutte quelle società che erogano servizi attraverso le loro piattaforme digitali.
Direttive, convenzioni e regolamenti.
Non tutti sanno che a garantire la tutela dei dati personali non c’è solo il GDPR. Le fonti normative sono più ampie: si annoverano la Direttiva “Polizia” 2016/80, la Convenzione 81/08, la direttiva 2002/58/CE, la c.d. e-privacy directive, il Regolamento 2001/45.
Il nuovo Regolamento (GDPR) in realtà ha perseguito l’esigenza già richiamata dall’art. 16 del T.F.U.E. acronimo di Trattato sul funzionamento dell’Unione Europea che recita: “Ogni persona ha diritto alla protezione dei dati di carattere personale che lo riguardano”.
Se da un lato l’Unione Europea ha “costituzionalizzato il principio sancito nell’art 16 del TFUE, dall’altro ha introdotto una serie di regole e istituito figure che non garantiscono la privacy.
Il D.P.O.
Nel GDPR affianco alle “storiche” figure, ossia il Titolare del trattamento dei dati personali, il Responsabile del trattamento dei dati personali, troviamo il D.P.O. che sta per Data Protection Officer.
A cosa serve e quando è obbligatoria la presenza del DPO?
Il DPO deve assicurare una corretta gestione dei dati personali assunti dalla imprese e dagli enti pubblici e/o privati. Al pari di qualsiasi sovrano il DPO è indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti, risponde solo al vertice, cioè chi nomina il DPO.
La figura del DPO pur avendo compiti “rilevanti”, tra i quali rientrano quelli di supervisore, in realtà riveste un ruolo marginale; il ruolo principale resta sempre la figura del Titolare del trattamento dei dati. Insomma il DPO non sposta gli equilibri ma innalza solo i costi che inevitabilmente ricadranno sulla collettività.
La figura del DPO così come creata dal nuovo Regolamento non serve a garantire maggiore sicurezza.
L’indipendenza del DPO non corrisponde alle esigenze di imparzialità e terzietà richieste a gran voce dai cittadini. Quest’ultimi nel marasma generale delle novità introdotte dal nuovo Regolamento, e nella miriade di informazioni da leggere, richieste in nome della “trasparenza” perderanno la consapevolezza dei propri diritti firmando il consenso al trattamento dei dati personali senza porsi troppi interrogativi.
Inoltre subito dopo l’annuncio dell’entrata in vigore del nuovo GDPR, che in Italia prenderà il via il 22 agosto, molte società con la scusa di informare il popolo cibernetico dell’entrata in vigore delle nuove regole della privacy, hanno inviato delle email “carpendo” consensi senza fornire davvero informazioni necessarie.
Tutto questo è stato possibile perché nel Regolamento c’è un vuoto in merito alle modalità attraverso le quali le aziende detentrici di dati sensibili devono informare gli interessati dell’avvento delle nuove regole sulla privacy.
Ci auspichiamo che su quanto accaduto l’Autorità intervenga inasprendo sanzioni che possano mitigare lo scorretto comportamento tenuto dalle società. Ripristinando una situazione di equilibrio tra il c.d. diritto alla privacy e gli interessi delle aziende a trattare i dati sensibili.
Leggi anche: Video e Privacy: cosa cambia da maggio 2018?