Il GDPR ha introdotto negli Ordinamenti degli Stati membri dell’UE un sistema affatto particolare che non contiene norme precettive ma piuttosto un insieme di principi e requisiti ai quali i “Titolari del trattamento” devono allineare le loro attività fin dalla progettazione.
Ne deriva che, per stabilire se un trattamento è “a norma”, non è sufficiente verificarne la liceità, i.e. la corrispondenza ad una norma giuridica ma è necessaria un’attenta analisi organizzativa volta a verificare la piena corrispondenza del trattamento stesso ai principi di protezione dei dati.
Un chemin vers la conquête de ses droits

Il GDPR non contiene norme precettive
Quando un trattamento è lecito ma non compliant
Autonomia delle categorie e dei concetti della Privacy/Data Protection
Necessario un cambio di mentalità

1. Il GDPR non contiene norme precettive
Spesso nell’ambito delle imprese e delle P.A. i responsabili di funzioni aziendali richiedono al DPO se una determinata attività che implica un trattamento di dati personali (che il più delle volte è già in fase di esecuzione) sia lecita e se possa essere tranquillamente eseguita in relazione alla normativa privacy.
Richieste di questo tipo non hanno alcun senso e comunque non possono essere riscontrate con una risposta univoca ed immediata, poiché il Regolamento (UE) 2016/679 (noto con l’acronimo GDPR: General Data Protection Regulation), principale riferimento normativo nel settore della protezione dei dati, non contiene norme precettive, i.e. non pone dettami che vanno conosciuti ed applicati, ma stabilisce piuttosto principi e requisiti a cui devono essere allineati i processi, i progetti e in generale tutte le attività che hanno ad oggetto dati personali.
Ne deriva che nell’ecosistema della Privacy/Data Protection non esistono regole generali ed astratte valide indistintamente per tutti i players.
Ogni organizzazione che riveste il ruolo di “Titolare del trattamento” non è semplicemente chiamata ad adempiere a norme giuridiche, ottemperando a precetti ma deve proteggere, rectius presidiare i dati personali e deve farlo bene, ponendo in essere, responsabilmente, misure organizzative e tecniche rispettose dei principi e dei requisiti fissati dal GDPR.
2. Quando un trattamento è lecito ma non compliant
Nello scenario descritto, un trattamento di dati personali potrebbe ben essere lecito, poiché fondato su una base giuridica adeguata ma non essere “a norma”, i.e. conforme (si dice “compliant”) alla normativa di settore, se non sono stati rispettati gli altri principi della protezione dei dati.
La liceità infatti è solo uno dei principi della protezione dei dati, da solo necessario ma non sufficiente a garantire la compliance.
Alors, e.g. il trattamento dei dati personali di un lavoratore dipendente, eseguito nell’ambito di un’impresa o di una P.A., al fine di attuare un suo trasferimento, da una sede o da una funzione aziendale ad un’altra, potrebbe essere:

lecito perché in linea con una norma prevista da una legge, da un regolamento o da un contratto collettivo nazionale;
contestualmente non conforme al GDPR, perché non sono stati gestiti i rischi per i diritti e le libertà fondamentali e/o i dati personali utilizzati risultano, e.g. ridondanti in violazione del principio di minimizzazione o ancora, perché non è stato stabilito il periodo di conservazione dei dati stessi né è stata fornita l’informativa all’interessato e non sono state adottate le misure di sicurezza necessarie a garantire l’integrità e la riservatezza dei dati.

Potrebbero interessarti anche:

Il mancato riscontro alle richieste di esercizio dei diritti sui propri dati personali da parte dell’interessato costituisce violazione della normativa privacy
La guerra dei dati tra Meta e l’unione Europea. Come e perché la privacy è ancora e più che mai una norma sociale
Viola la privacy il post su Facebook che contiene dati personali

3. Autonomia delle categorie e dei concetti della Privacy/Data Protection
I Garanti Europei hanno anche chiarito[1] che le categorie ed i concetti del sistema Privacy, come e.g. quelli di “Titolare del trattamento” e “Responsabile del trattamento”, sono concetti autonomi nel senso che, la loro interpretazione dovrebbe basarsi principalmente sul GDPR e non su fonti esterne all’Ordinamento Eurounitario, come quelle del diritto nazionale. Così e.g., il concetto di “Titolare del trattamento” non dovrebbe essere confuso con altri concetti, talvolta contrastanti o coincidenti, propri di altri campi del diritto, come quello di autore o di titolare dei diritti in materia di proprietà intellettuale o di diritto della concorrenza.
E ancora, non è possibile confondere (talvolta considerandoli anche sinonimi) il principio di accountability con la discrezionalità amministrativa o il ruolo di “Responsabile del trattamento” con la figura del “procurator” del diritto privato nazionale.
4. Necessario un cambio di mentalità
Questo sistema così particolare richiede quindi un cambio di mentalità.
La privacy, intesa come sistema di regole volto a proteggere i diritti e le libertà delle persone fisiche e in particolare il diritto alla protezione dei dati personali, è una materia complessa che richiede una grande attenzione ed una conoscenza specialistica della relativa normativa e delle relative prassi [2], per non rischiare di pregiudicare una piena adesione ai principi e alle regole della protezione dati, che costituiscono un necessario presupposto per assicurare la tutela dei diritti e delle libertà fondamentali delle persone fisiche.[3]
Volume recommandé:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Editeur Maggs
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…

32,00 € 30,40 €
acheter

son www.maggiolieditore.it –>

Remarque

[1] Punto 13 delle Linee Guida EDPB 7/2020 versione 2.0.
[2] Vds. Art.37, paragrafo 5 GDPR.
[3] Così testualmente il GPDP nel provv. n. 186 la 29 Avril 2021 [doc. web n. 9589104].

Devenez auteur de Diritto.it
En savoir plus!

Vous pourriez aussi être intéressé

È illecita la pubblicazione on-line da parte della Regione di un documento contenente i dati personali di due soggetti creditori della stessa in virtù di una Sentenza esecutiva

di Muia’ Pier Paolo
28 Septembre 2020

Trattenimento amministrativo e libertà di corrispondenza. I primi interventi giurisprudenziali

di Arturo Raffaele Covella
16 Septembre 2021

Verso un mondo senza cookie: il marketing ai tempi del web cookieless

di Luisa Di Giacomo
20 Avril 2022

Il titolare del trattamento dati ha l’obbligo di vigilare costantemente l’operato del Responsabile

di Muia’ Pier Paolo
15 février 2022

The post Complessità privacy: quando e perché un trattamento, pur essendo lecito, non è compliant e costituisce una violazione al GDPR appeared first on Diritto.it.
La source: Diritto.it