di Studio Legale Associato Fioriglio-Croari 22 Febbraio 2018, 14:00
La tutela offerta dal Regolamento riguarda tutte le informazioni relative alle persone fisiche identificate o identificabili che si trovano nel territorio europeo, mentre non tocca i trattamenti di informazioni relative alle persone decedute né alle persone giuridiche.
Restano, inoltre, esclusi dalla disciplina prevista dal Regolamento i trattamenti di dati effettuati in forma anonima, anche se svolti per scopi statistici o di ricerca.
A tale riguardo, il GDPR precisa che i principi di protezione dei dati personali così introdotti non riguardano nemmeno quei “dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato” (Considerando n. 26). In tal senso, va quindi attribuito particolare rilievo alla pseudo minimizzazione dei dati, alla quale i titolari vengono invitati a fare ricorso ove possibile, quale generale forma precauzionale.
Tale procedura (elencata tra le misure di sicurezza dall’art. 32 del GDPR) è definita dal Regolamento come quella modalità di trattamento con la quale “i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”. Essa permette quindi di ridurre il rischio di pregiudizi per i diritti degli interessati e, al tempo stesso, di favorire il rispetto della normativa limitandolo a quelle attività aziendali che riguardano informazioni relative a persone fisiche identificate o identificabili.
D’altra parte, non può essere sottovalutata la portata del concetto di “identificabilità” di una persona fisica: in tal senso, infatti, vanno considerati tutti i mezzi di cui i terzi potrebbero avvalersi per identificare, anche indirettamente, una persona, valutando complessivamente una serie di elementi oggettivi, come i costi, il tempo e le tecnologie disponibili per l’identificazione. Ciò, oltre alla puntualizzazione che il Regolamento afferma espressamente che l’utilizzo della pseudo minimizzazione non può escludere a priori la necessità di adottare particolari misure di sicurezza. Nemmeno va tralasciata l’importanza dei numerosi rimandi che il GDPR fa alla legislazione nazionale e alla introduzione da parte dei singoli Stati di regole di dettaglio. È esemplificativa, al riguardo, la formulazione delle disposizioni di cui alla Sezione IX, dedicata a specifiche situazioni di trattamento: per disciplinare alcune circostanze particolari, infatti, si fa esplicitamente rinvio a quanto verrà previsto dagli Stati membri, in rapporto, tra gli altri, a trattamenti effettuati a scopi giornalistici o di espressione accademica, artistica o letteraria (art. 85 GDPR) oppure all’utilizzo di dati personali dei dipendenti nell’ambito dei rapporti di lavoro, ad esempio, per finalità di assunzione (art. 88 GDPR).
Peraltro, nonostante l’autonomia riconosciuta ai legislatori nazionali in queste ipotesi, nell’ottica di uniformità di disciplina che contraddistingue il GDPR, i singoli Stati saranno tenuti sempre a coordinarsi tra loro. Al riguardo, per il momento, non resta che attendere gli interventi dei legislatori nazionali e le eventuali indicazioni delle Autorità Garanti.
In generale, poi, si deve partire dall’idea che l’approccio corretto alla nuova disciplina è di tipo preventivo. Vale a dire che, prima di porre in essere qualsiasi attività di trattamento di dati personali, i titolari devono:
- analizzare le singole operazioni che andranno ad effettuare;
- valutare i rischi specifici che esse comportano per la privacy;
- eseguire tutti gli adempimenti richiesti dalla normativa europea e nazionale;
- predisporre tutte le misure di tutela necessarie per garantire un livello di sicurezza adeguato al rischio.
La protezione dei dati personali deve, quindi, essere attuata in via anticipata rispetto ad ogni attività di trattamento che sarà o che potrebbe essere svolta. Il GDPR richiede, infatti, ai titolari del trattamento un’attenta analisi progettuale che dovrà tenere conto, complessivamente, di tutti gli elementi coinvolti e che dovrà fondarsi, necessariamente, su una conoscenza specifica del settore di competenza.
Non sarà possibile, in altre parole, applicare correttamente la disciplina normativa in oggetto, se non si sarà in grado di distinguere e descrivere analiticamente tutte le caratteristiche dei trattamenti effettuati e dei dati che ne sono oggetto in riferimento ad ogni specifica attività.
Per tale motivo, i titolari dovranno sforzarsi di procedere con ordine e in stretto rapporto al contesto di riferimento, non fermandosi all’applicazione aprioristica delle più comuni misure di sicurezza (che potrebbero risultare inadeguate e/o inappropriate rispetto ai reali trattamenti effettuati).