Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il confronto

Privacy vs protezione dati personali: attenti alla differenza, ne va della nostra identità

I concetti di privacy e protezione dei dati personali sono fondamentalmente diversi, anche se oggi molti continuano a sostenere che la differenziazione non abbia più senso. In realtà, il senso c’è ed è correlato alle nostre radici storiche. Vediamo perché, mettendo in rapporto Usa ed Europa

30 Ott 2019
Luigi Rendina

Consulente d'Impresa🇪🇺 Privacy e Processi e DPO


I concetti di privacy e protezione dei dati sono strettamente interconnessi, al punto che spesso sono considerati come sinonimi anche se fondamentalmente diversi.

Il primo, fa riferimento al diritto alla riservatezza delle informazioni personali e della propria vita privata. Si tratta di un principio che usiamo come strumento per tutelare la sfera intima del singolo individuo volto ad impedire che le informazioni siano divulgate in assenza di specifica autorizzazione o a chiedere la non intromissione nella sfera privata da parte di terzi. Tanto che usiamo il termine privacy quando vogliamo rappresentare uno spazio personale che gli sconosciuti non possono oltrepassare.

La protezione dei dati personali, invece, è un sistema di trattamento degli stessi che identifica direttamente o indirettamente una persona. Nella sua definizione oltre al principio di riservatezza, troviamo quello della disponibilità e dell’integrità dei dati personali.

Vediamo come nascono i due concetti, come si sviluppano negli Usa e in Europa e cosa cambia col Gdpr.

Le origini della privacy

La prima definizione di privacy proviene da un idea giuridica nord americana del 1890, fondata sul “diritto ad essere lasciato solo”[1] (to be let alone). Due giovani avvocati di Boston preparavano una causa contro le indiscrezioni sulla vita matrimoniale della moglie di uno di loro che un giornale locale, la Evening Gazette, specializzata in pettegolezzi, fece trapelare in alcuni articoli. La necessità di affermare un nuovo diritto provenne dalla testuale affermazione: “Questa faccenda dei giornali che si occupano troppo della vita mondana di mia moglie non può continuare”. I due avvocati si ritrovarono quindi a ragionare su quali informazioni riguardanti la vita personale di un individuo dovessero essere di pubblico dominio e quali, invece, meritassero una tutela dalla curiosa invadenza altrui.

In Europa, il concetto di protezione dati personali lo troviamo rappresentato per la prima volta, nel 1909 a Parigi, da un giovane giurista francese[2], in un articolo di una rivista di diritto civile, poi diventato famoso, intitolato “Des Droits de la personnalitè”.

Mentre il concetto americano di privacy nasce da un esigenza di sicurezza personale legata alla proprietà, quello europeo della protezione dei dati personali proviene dal timore che una profilazione dell’individuo possa essere potenzialmente discriminatoria.

Negli anni Trenta, il governo olandese istituì un registro anagrafico in cui venivano riportati i dati identificativi dei cittadini come il nome, il numero di identificazione, i dati relativi all’ubicazione ed altri elementi caratteristici della loro identità economica, culturale o sociale, come confessioni religiose ed altre informazioni personali.[3] Elementi questi, che ritroviamo oggi nell’art. 4 comma 1 come definizione di “dato personale” del Regolamento Europeo 2016/679.

Il registro fu accolto con favore perché avrebbe facilitato il compito dell’amministrazione pubblica nell’erogazione dei servizi, facilitato l’affermazione del nuovo consociativismo olandese e riformato i rapporti tra le tante culture religiose.

Quando i nazisti invasero i Paesi Bassi e vennero in possesso del registro, ebbero vita facile nell’utilizzare le informazioni personali di milioni di cittadini olandesi per identificare, perseguitare ed assassinare molte persone a causa delle loro origini etniche, religiose e razziali.

Gli olandesi avevano fornito i loro dati personali perché avevano fiducia nel loro governo e nel programma di assistenza che questo voleva perseguire ma non avevano previsto l’invasione nazista ed il registro, che era di fatto una accurata profilazione sociale, gli si ritorse contro.

Altre popolazioni europee furono vittime di analoghi episodi da parte dei regimi comunisti ma con minore efficacia perché la profilazione non era già disponibile ma fu necessario raccogliere prima le informazioni sul campo.

Questi aspetti provengono dalle rivelazioni postume della seconda guerra mondiale.

Quanto sopra citato, ha, come comun denominatore, la profilazione di persone per l’ origine razziale o etnica, l’opinione politica, le convinzioni religiose o filosofiche, l’appartenza sindacale nonché per il trattamento di dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale ed intesi ad identificare in modo univoco una persona fisica. Non a caso, ritroviamo queste definizioni riconosciute nell’art. 9 e nel Considerando 51 del Regolamento Europeo 2016/679 relativo alla protezione dei dati personali.

I riferimenti storici hanno condotto alla necessità di proteggere i dati personali ed i relativi trattamenti dall’ingerenza di un autorità pubblica durante l’esercizio del diritto alla libertà individuale e si possono far risalire alla Convenzione europea dei diritti dell’uomo firmata a Roma nel novembre del 1950 dai 12 stati all’epoca membri del Consiglio d’Europa.

Il diritto alla privacy in Italia

In Italia, la prima affermazione giurisprudenziale del diritto alla privacy si registra con la sentenza della Corte di Cassazione n. 4487 del 1956 a seguito del ricorso, dei figli e nipoti del grande tenore napoletano Enrico Caruso, ad una casa produttrice di un film che narrava in forma romanzata, episodi ed avvenimenti relativi all’infanzia, alla giovinezza ed ai primi passi, alquanto impacciati, della brillante carriera di Enrico Caruso. L’attenzione veniva richiamata su talune scene. Per significare la poverissima estrazione del tenore, vi si rappresentava un ufficiale giudiziario nell’atto di eseguire un pignoramento in casa Caruso. Si dava risalto all’incerta economia familiare attraverso la rappresentazione di una violenta reazione del padre verso il piccolo Enrico perché fece cadere accidentalmente a terra una brocca colma di latte.

Inoltre, oggetto specifico di ulteriori reclami erano la raffigurazione del giovane tenore in stato di ebbrezza in occasione del suo debutto a Trapani e la dettagliata descrizione dello scherno e dei dileggi che accompagnarono inopinatamente il suo esordio. Parimenti lesive, si assumevano le scene in cui Caruso, indotto dall’insuccesso manifestava propositi suicidi, tanto da apparire sul punto di lasciarsi morire annegato ed il rivisitato abbraccio del suo amore giovanile quando lei era già convolata a giuste nozze con un altro uomo.

I parenti, rivendicavano quindi, la tutela di situazioni e vicende strettamente personali e familiari anche se verificatesi fuori dal domicilio domestico perché non avevano per i terzi un interesse socialmente apprezzabile.

Affermazione questa, che divenne, successivamente nella normativa italiana, un punto di riferimento per il bilanciamento tra riservatezza e diritto di cronaca.

In Italia, il concetto di privacy, inteso come rispetto della vita privata e familiare, cominciò ad evolversi con una altra sentenza della Cassazione, la n. 990 del 1963 che condannò il settimanale “Tempo” (all’epoca uno dei più diffusi in Italia) a risarcire gli eredi di Claretta Petacci, amante di Benito Mussolini, per aver raccontato, in un articolo ed in modo offensivo vicende private in assenza di interesse pubblico.

E’ interessante leggere l’introduzione della sentenza: “Sebbene non sia ammissibile il diritto tipico alla riservatezza, si viola il diritto assoluto di personalità, inteso quale diritto erga omnes alla libertà di autodeterminazione nello svolgimento della personalità dell’uomo come singolo, la divulgazione di notizie relative alla vita privata, in assenza di un consenso almeno implicito, ed ove non sussista, per la natura dell’attività svolta dalla persona e del fatto divulgato, un preminente interesse pubblico di conoscenza”.

Nelle sentenze citate, non si riconosceva, ancora formalmente, il diritto alla privacy intesa come principio di riservatezza ma si ammetteva la necessità di una tutela in tale ambito.

Solo nel 1975, si riconobbe il diritto alla privacy nella sentenza n. 2129 del 27 maggio 1975, con la quale si tutelava il diritto alla riservatezza della moglie dello Scià di Persia che era stata ripresa in atteggiamenti molto intimi con un uomo tra le mura della sua abitazione.

La sentenza affermava che costituisce lesione della privacy la divulgazione di immagini o avvenimenti non direttamente rilevanti per l’opinione pubblica, anche quando tale divulgazione venga effettuata con mezzi leciti e per fini non esclusivamente speculativi.

Dunque, il concetto di privacy nasce, anche in Italia, nel momento in cui la sfera privata appare minacciata dalla crescente capacità di intrusione di chi osserva o ascolta e riporta al pubblico ciò che accade in ambito domestico.

Tuttavia, bisogna attendere la fine del ’96[4] per avere una legge che garantisce il trattamento dei dati personali nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone fisiche con particolare riferimento alla riservatezza ed all’identità personale nonché l’istituzione di un’Autorità amministrativa indipendente[5]. Normativa questa, prima consolidata in un decreto legge del 2001[6] poi abrogata dall’art. 183, comma 1, lettera a) del D.Lgs. 196/2003 noto anche come Codice in materia di protezione dei dati.

La privacy negli Usa

Avendo citato in apertura di quest’articolo che il primo concetto di privacy è stato coniato, per la prima volta, da due avvocati di Boston, può essere utile, la lettura della diversa evoluzione rispetto alla legislazione europea.

Negli USA la privacy diventa legge federale solo nel 1970 (Privacy Act) ma si occupa di regolare i rapporti tra governo ed individui anche se a livello dei singoli Stati, esisteva un elevato numero di leggi aventi come obiettivo quello di disciplinare principalmente i rapporti tra privati.

In questo paese, le leggi perseguono l’obiettivo di regolamentare il trattamento dei dati in ambiti specifici di attività economica, nella misura in cui vi possano essere rischi per le persone intese però come consumatori.

Ne consegue che a differenza dall’Europa, (come si vedrà di seguito), la privacy non si configura come un diritto fondamentale dell’individuo, ma come un diritto del consumatore, da bilanciare con le esigenze delle imprese.

Dopo gli eventi dell’ 11 settembre 2001, l’approvazione di una vera e propria legislazione d’emergenza[7] volta a fornire strumenti ritenuti appropriati per arginare il terrorismo, le libertà ed i diritti civili dei cittadini americani, sono sacrificati pesantemente al principio della sicurezza nazionale.

E’ quanto mai, difficile trovare un equilibrio tra le due esigenze contrapposte: da un lato, quella di assicurare l’ordine pubblico e la sicurezza nazionale; dall’altro, l’esigenza di tutela della privacy che, come si è detto in precedenza, si concretizza prevalentemente nel diritto alla riservatezza e di dati personali oggetto di trattamento come fruitori di beni e servizi. Quello che è avvenuto negli Stati Uniti d’America, ossia la diffusione e l’ affermazione del principio “più sicurezza meno privacy”, porta inevitabilmente a dover rispondere ad una famosa domanda formulata dal Prof Rodotà ovvero “fino a che punto, in una democrazia, le libertà possono essere limitate in nome della sicurezza?[8]

Privacy negli Usa: qualcosa sta cambiando

Tuttavia, qualcosa sta cambiando. Il 28 giugno 2018, lo stato della California ha emanato il California Consumer Privacy Act (CCPA) che entrerà in vigore nel 2020. Si applicherà solamente ai cittadini dello Stato anche se aziende come Facebook e Google dovranno adeguarsi per non avere due regimi di privacy molto diversi: uno in California ed un altro in tutto il resto degli Usa.

La legge è in realtà un provvedimento adottato in condizioni di urgenza a seguito di una petizione firmata da oltre 600mila californiani stanchi dell’uso indiscriminato dei loro dati personali.

California Consumer Privacy Act e Gdpr a confronto

Alcuni contenuti  sono palesemente ispirati al GDPR perché orientati alla protezione dell’individuo anche se in forma di diritti dei consumatori. Finalmente, sono riconosciuti, sotto forma giuridica, la titolarità, il controllo e la sicurezza delle loro informazioni personali.

Esiste una differenza significativa rispetto alla norma europea. Mentre il Regolamento UE sulla protezione dei dati personali mette al centro la persona fisica che può esercitare un diritto di libertà a prescindere dal suo ruolo sul mercato, il California Consumer Privacy Act si focalizza sull’individuo ed i dati che lo riguardano in quanto consumatore. Questi, avrà quindi la possibilità di avvalersi del diritto di accesso ai dati che lo riguardano tenuti e trattati dalle aziende, potranno esercitare il diritto alla cancellazione (Diritto all’oblio) ed opporsi al trasferimento a terzi. In presenza di una richiesta, il periodo di tempo concesso ad una azienda per formulare una risposta è pari ad un massimo di trenta giorni.

I parametri dalla normativa americana utilizzati per individuare le aziende che dovranno sottoporsi al rispetto sono fissati in soglie di fatturato:

  • fatturato di almeno $ 25.000.000 l’anno;
  • acquisto, raccolta, vendita o condivisione di informazioni personali di almeno n. 50.000 anagrafiche l’anno.
  • La vendita dei dati personali sia pari o superiore al 50% delle entrate annuali.

E’ interessante leggere che sarà vietato vendere le informazioni personali dei consumatori di età compresa tra i 13 ed i 16 anni a meno che non siano da questi autorizzato. Per i cittadini di età inferiore ai 13 anni, il consenso al trattamento dei dati sarà richiesto ad un genitore o tutore.

Per quanto sopra, le aziende californiane dovranno dichiarare, entro l’inizio del 2020, quali dati hanno raccolto e conservato e se questi vengono condivisi con terze parti.

Inoltre, le aziende, che rientrano nei parametri di obbligatorietà, per essere conformi non potranno penalizzare i consumatori, con servizi meno completi o con aumenti ingiustificati di beni e servizi. Coloro che violeranno la normativa potrà andare incontro a sanzioni economiche (fino a $ 2.500 per singole violazioni colpose e fino a $ 7.500 dollari singole per violazioni intenzionali). Ovviamente, i consumatori potranno intentare causa in caso di diffusione di dati non autorizzati.

La protezione dei dati personali

La protezione dei dati personali, secondo la concezione europea, invece, è un sistema di trattamento degli stessi che identifica direttamente o indirettamente una persona. La sua definizione accoglie, oltre al principio di riservatezza, quelli inerenti alla disponibilità ed all’integrità dei dati personali.

Il differente significato, rispetto alla concezione americana, comincia ad emergere chiaramente dalla lettura degli artt. 7 ed 8 della Carta dei diritti fondamentali dell’Unione europea 2012/C 326/02 che rispettivamente recitano:

Articolo 7. Rispetto per la vita privata e familiare

Tutti hanno il diritto al rispetto della propria vita privata e familiare, della propria casa e delle comunicazioni.

Articolo 8. Protezione dei dati personali

1. Ogni individuo ha diritto alla protezione dei dati personali che lo riguardano.

2. Tali dati devono essere trattati equamente per scopi specifici e sulla base del consenso dell’interessato o di altre legittime basi stabilite dalla legge. Ognuno ha il diritto di accedere ai dati che sono stati raccolti riguardo a lui o lei, e il diritto di farlo rettificare.

3. Il rispetto di queste regole è soggetto al controllo di un’autorità indipendente.

Quest’ultimo non distingue solo la protezione dei dati dalla privacy, intesa come diritto alla riservatezza, ma stabilisce anche alcune garanzie specifiche ai paragrafi 2 e 3 che ritroveremo amplificati all’interno del Regolamento UE 2016/679.

La differenza tra privacy e protezione dati personali

Si tratta quindi di due concetti diversi, provenienti da culture differenti.

Mentre la privacy è stata costruita come un dispositivo “escludente”[9] ovvero come uno strumento per allontanare lo sguardo indesiderato, la protezione dei dati personali mette al centro la persona in riferimento ai suoi dati perché questi costituiscono un’identità.

In merito al comma 3 dell’art. 8 della Carta, a differenza del modello americano sulla privacy, quello europeo può contare sulla presenza di apposite Autorità indipendenti di controllo che ricoprono il ruolo di Garanti del rispetto della disciplina, in questo caso relativa alla protezione dei dati personali. La mancata presenza di specifiche autorità indipendenti nel modello americano trova una giustificazione nella ideologia liberista americana che ha portato il legislatore a riporre una straordinaria fiducia nell’autoregolamentazione.[10]

Oggi, nel cyberspazio, i trend di ricerca sul web della parola “privacy” sono nettamente superiori a quella di “protezione dati personali”. E’ significativo osservare che il numero di ricerche relative alle parole: “Privacy cos’è” registra, alla data di produzione di questo articolo, ben 46 milioni di istanze. Confermando, non solo la presenza di una diffusa ambiguità sui due vocaboli ma anche la necessità di conoscere in modo puntuale il significato.

Oggi, nel lessico comune, il termine privacy è utilizzato sia per far riferimento alla riservatezza di uno spazio fisico ed emotivo, essenzialmente individuale, sia alla protezione dati delle persone fisiche.

Nel segno della comunicazione ci concede una essenzialità anche utile ma sacrifica, quando è riferita all’esercizio di un diritto di libertà un concetto molto più nobile.

Anche il Garante della Protezione dei dati personali si è adattato, mantenendo, come identificativo in internet, la dizione di “Garante per la privacy” al fine restare meglio indicizzato dai motori di ricerca.

Tuttavia, ogni volta che usiamo la parola privacy per intendere protezione dati personali, alimentiamo la percezione da parte di imprenditori, liberi professionisti e dirigenti pubblici che il GDPR è una seccatura volta a complicare la vita ed aggiungere ulteriori costi a chi vuol fare impresa o deve erogare servizi ai cittadini.

Atteggiamento questo, forse imputabile ad una tiepida accoglienza della materia proveniente dal vecchio e forse poco controllato approccio al DLgs. 196/2003 più noto come Codice privacy e prima ancora alla Legge 675/1996.

Il dover adottare misure adeguate per poter dimostrare che i trattamenti dei dati personali sono conformi a quanto prescritto dal Regolamento UE 2016/679, dal DLgs. 101/2018 tenendo conto dei provvedimenti del Garante per la protezione dei dati personali, è cosa ben diversa da quelle misure minime previste dalla precedente legislazione.

Si tratta di un errore cognitivo sviluppato sulla base di un interpretazione delle informazioni acquisite in maniera più o meno effimera, anche se non logicamente o semanticamente connesse tra loro, che porta, inevitabilmente, ad una imprecisa valutazione giuridica, organizzativa, informatica e culturale. Ne deriva, un diffuso clima di superficialità proveniente da un approccio all’adempimento, come nel 2003, fondato, principalmente, sul fare un copia/incolla di documenti sfornati in serie per poter dimostrare di aver adempiuto, almeno in forma cartacea, all’ennesima norma ostacolo al business, invece di considerarla non solo un elemento distintivo dell’affidabilità aziendale verso i mercati di riferimento e quindi verso dipendenti, clienti, fornitori e collaboratori esterni ma una moderna concezione del diritto di libertà delle persone fisiche in un contesto prevalentemente digitale da sottoporre ad una attenta analisi dei rischi a prescindere dalle dimensioni organizzative. Eppure, quando l’ex garante privacy e giurista Stefano Rodotà affermò che “noi siamo i nostri dati[11]” ben rappresentò che il trattamento illecito dei dati personali corrisponde alla violazione di un diritto fondamentale della persona punibile con una sanzione amministrativa e penale.

Privacy, disponibilità e integrità dei dati dell’interessato

Dunque, con l’avvento della società digitale è stato necessario pensare alla sicurezza dei dati personali in quanto internet può essere il presupposto tanto di espansione quanto di limitazione delle libertà[12]. Ecco, che con il Regolamento Europeo 2016/679 vengono introdotti, in aggiunta alla riservatezza, altre due garanzie fondamentali poste a tutela della sicurezza del trattamento: la disponibilità e l’integrità dei dati dell’interessato. Queste le troviamo rappresentate nel contesto dell’art. 32 e C83 dove si sottolinea chiaramente che:

  • Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
  • Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

La protezione dei dati personali, intesa con le due garanzie aggiuntive, integrità e disponibilità è quindi un evoluzione della privacy intesa come diritto alla riservatezza.

Tanto che, il legislatore europeo si è preoccupato di fornire delle chiare indicazioni al titolare e responsabile del trattamento al fine di adottare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Le motivazioni le ritroviamo nell’evoluzione tecnologica ed informatica registrata nelle organizzazioni pubbliche e private e nell’uso sempre più pervasivo dei social network che hanno portato ad un incremento del rischio che gli utenti oramai corrono quotidianamente attraverso la comunicazione e diffusione dei dati personali. Rischio questo, connesso ad una profilazione tuttora più spinta derivante dall’adozione sistematica di algoritmi sempre più sofisticati tanto da essere predittivi dei nostri comportamenti. Non solo negli acquisti o nelle vendite ma anche delle nostre performance lavorative.

La valutazione di impatto richiesta dal Gdpr

Da qui, al necessità di effettuare una valutazione di impatto sulla protezione dei dati personali nota anche con l’acronimo di DPIA[13] che comporta, in particolare, nelle organizzazioni più complesse, l’uso di alcune metodologie di analisi per identificare e valutare quel rischio di identificazione degli individui non presente nel mero diritto alla riservatezza e nel concetto originale di privacy.

Per effettuare le analisi d’impatto richieste dal GDPR è necessario attingere alle metodologie proposte dalla disciplina della data governance, molto diffusa nelle grandi organizzazioni praticamente sconosciuta nelle piccole e medie aziende italiane.

Si tratta di uno strumento quasi indispensabile nell’approccio alla gestione del rischio ed a quel dover dimostrare di aver ben interpretato il principio di accountability rivolto al titolare del trattamento.

La governance dei dati

La governance dei dati[14] è definita come l’organizzazione e l’implementazione di politiche, procedure, strutture, ruoli e responsabilità che delineano ed impongono l’adozione di regole, processi decisionali e responsabilità per una gestione efficace delle risorse informative.

Non è una metodologia rivolta esclusivamente al governo dei dati che viaggiano su infrastrutture informatiche ma ha l’obiettivo, non solo di definire responsabilità e competenze sulle informazioni e di far comprendere come ottimizzare il valore dell’intero patrimonio informativo.

I principi della governance citati dal Data Governance Institute[15], un organizzazione internazionale ed indipendente, riconosciuta per la fornitura delle migliori pratiche e linee guida per la gestione dei dati, li ritroviamo in molti fondamenti del Regolamento UE 2016/679.

Integrità, trasparenza, dimostrabilità, responsabilità, monitoraggio e controllo, semplificazione e gestione dei cambiamenti sono gli strumenti che aiutano le organizzazioni a censire ed ottimizzare i flussi che fanno viaggiare le informazioni.

Questa metodologia serve ad effettuare misure e controlli sui processi ed a identificare ruoli e responsabilità all’interno delle organizzazioni, effettuare controlli interni di supervisione, gestire i progetti, individuare le regole di interazione e le responsabilità in presenza di contitolarità dei trattamenti. Inoltre, risulta utile per rivedere o produrre nuove policy interne e modelli di gestione dei rischi aderenti alle strutture organizzative, disegnare dei processi per la gestione degli incidenti e preparare strumenti e modalità di eventuali notifiche all’Autority ed individuare meccanismi di conservazione degli eventi.

I risultati di queste attività avranno una ricaduta significativa su contenuti e configurazioni contrattuali per consentire il tracciamento dei dati oggetto di trattamento e protezione.

Le attività che ne derivano andranno integrate da una costante formazione ed informazione delle organizzazioni, anche in questo caso a prescindere dalle dimensioni, al fine di creare una maggior consapevolezza dei potenziali rischi sul trattamento dei dati personali. Pertanto, in un ottica di prevenzione, il legislatore europeo ha sostenuto nell’art. 29 e C81 che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Conclusione

Oggi, molti continuano a sostenere che la differenza tra privacy e protezione dati personali non ha più senso. In realtà, il senso c’è ed è correlato alle nostre radici storiche.

__________________________________________________________________

  1. S. Warren e L.D. Brandeis, The Right to Privacy”, in “Harvard Law Review”, 5, 1890.
  2. E. H. Perreau, Parigi
  3. William Seltzer e Margo Anderson, 2001 “The Dark Side of Numbers: The Role of Population Data Systems in Human Rights Abuses”
  4. Legge 675 del 31 dicembre 1996
  5. Garante per la protezione dei dati personali. Art. 30
  6. D.Lgs. 28 dicembre 2001 n. 467
  7. Patriot Act,
  8. S. Rodotà – Libertà personale.
  9. S. Rodotà – Il diritto di avere diritti, pag. 320
  10. Cfr. U. PAGALLO, La tutela della privacy negli Stati Uniti d’America e in Europa, cit., pag. 96 e ss.
  11. S. Rodotà – Discorso di presentazione della relazione annuale del Garante al Parlamento dell’anno 2001.
  12. Discorso del Presidente Antonello Soro – L’universo dei dati e la libertà della persona – Relazione 2018
  13. Prevista dall’art. 35 – l’art. 35 i responsabili dei dati dovrebbero effettuare una valutazione d’impatto delle loro attività ditrattamento quando questi potrebbero comportare “un elevato rischio per i diritti e le libertà delle persone.
  14. DAMA International – The Global Data Management Community
  15. http://www.datagovernance.com/

@RIPRODUZIONE RISERVATA

Articolo 1 di 2