I cambiamenti prospettati dal nuovo Regolamento Europeo
L’introduzione del Regolamento Europeo nell’attuale scenario normativo prospetta un sensibile aumento delle responsabilità e dei doveri di coloro che trattano dati. Questo aspetto porta inevitabilmente a focalizzare il discorso sull’impatto del principio di “privacy by design” sugli operatori del settore. Secondo tale concetto la tecnologia non rappresenta una minaccia per la privacy, bensì un ausilio per la riduzione dei rischi connessi al trattamento di dati personali. Privacy intesa dunque come uno strumento per accrescere la competitività piuttosto che come un pesante onere che grava sull’attività dell’azienda.
Sette sono i principi su cui si fonda il concetto della Privacy by Design. Li ricordiamo brevemente:
- Proactive not Reactive; Preventative not Remedial. In altre parole si predilige un approccio di tipo “preventivo” piuttosto che reattivo. Prevenire gli eventi è sempre preferibile che dovervi porre rimedio a danno avvenuto.
- Privacy as the Default. La privacy rappresenta una priorità nella salvaguardia del soggetto. Il principio prevede la protezione in automatico dei dati personali in ogni sistema IT o commerciale.
- Privacy embedded into Design. Privacy come parte integrante dei sistema e delle pratiche commerciali.
- Full Functionality – Positive-Sum, not Zero-Sum. Il principio cerca di conciliare gli interessi legittimi e gli obiettivi di tutti gli attori del processo in gioco affinché tutte le parti risultino soddisfatte.
- End-to-End Lifecycle Protection. Viene garantito il corretto e sicuro ciclo dei vita dei dati, alla fine del quale questi verranno tempestivamente distrutti.
- Visibility and Transparency: garantisce agli interessati, a prescindere dalla prassi aziendale o dalla tecnologia, la possibilità di effettuare verifiche in totale trasparenza.
- Respect of user privacy: ribadisce l’assoluta priorità degli interessi degli interessati, offrendo misure come una privacy di default, informazioni appropriate e incrementando opzioni di facile utilizzo
Il nuovo Regolamento, in particolare l’articolo 33 introduce l’obbligo per responsabili ed incaricati del trattamento di eseguire una valutazione d’impatto nell’ottica di garantire la protezione dei dati nella fase antecedente di eventuali trattamenti che possano metterli a rischio. Tra questi ricordiamo la profilazione ossia il trattamento di dati “sensibili” quali quelli concernenti la vita sessuale o lo stato di salute, attività di videosorveglianza, dati biometrici, trattamenti riguardanti minori e, più in generale, tutti quelli contemplati nei casi dell’art. 34 comma 2b.
La sovra citata valutazione d’impatto deve contenere al suo interno come minimo una descrizione generale del trattamento previsto, completa di adeguata valutazione de rischi riferiti ai diritti ed alla libertà degli interessati, senza trascurare le misure previste per far fronte ai rischi e le misure di sicurezza atte a garantire la protezione dei dati personali.
Dallo scenario qui prospettato emerge dunque un concetto di privacy inteso in senso esteso, in cui le misure e le tutele dei dati sono garantite durante l’intero ciclo della loro vita e gli oneri sono posti a favore degli interessati.
L’ultimo aspetto che prenderemo in esame riguarda la questione del controllo preliminare presso l’Autorità di controllo, sviluppato dall’art. 34 della proposta di Regolamento. Esso dispone che il responsabile o l’incaricato del trattamento che adotti le clausole contrattuali o non offra garanzie adeguate per il trasferimento di dati verso un paese terzo o un’organizzazione internazionale ottenga l’autorizzazione dell’autorità di controllo al fine di garantire la conformità del trattamento nel rispetto dei principi enunciati nel Regolamento e di ridurre al minimo i rischi per gli interessati.
Nel caso in cui l’Autorità di controllo ritenga che il trattamento proposto non sia conforme al Regolamento ha la facoltà di vietarlo e di proporre misure adeguate per sopperire al difetto di conformità.