Privacy e utilizzo improprio dei dati personali
- Norme privacy: il GDPR
- Dato personale e dato sensibile
- Le figure principali in materia di privacy
- Comunicazione informativa privacy
- Principi applicabili al trattamento dei dati
- Conseguenze in caso di violazione del dato personale e sensibile
Norme privacy: il GDPR
L'acquisizione, l'indicazione e l'utilizzo di informazioni strettamente personali rappresenta, soprattutto oggi, un campo delicato e particolareggiato nel quale ognuno è chiamato a muoversi con cautela: dall'utente o cliente che presta il proprio consenso generico, al titolare che ne prevede e disciplina la finalità.
Ogni singolo rapporto professionale e ciascun canale telematico di accesso per la fruibilità di un qualsiasi servizio presuppone lo scambio di dati. Uno scambio che impone una richiesta di autorizzazione con contestuale previsione a tutela del dato fornito mediante la sottoscrizione e/o il rilascio di un consenso al trattamento.
La normativa di riferimento è rappresentata, in primis, dal d.lgs n. 196/2003 (Codice in materia di protezione dei dati personali) e, più di recente, dal Regolamento Europeo n. 679/2016 - GDPR (General Data Protection Regulation).
Dato personale e dato sensibile
Prima di un esame specifico di quelle che risultano essere le figure principali a tutela del diritto alla privacy e delle eventuali conseguenze in caso di violazione, occorre imprescindibilmente fornire una distinzione tra il concetto di dato personale e quello di dato sensibile.
Il GDPR n. 679/16 definisce il dato personale come quella informazione riconducibile ad un soggetto inteso quale persona fisica identificata o identificabile, che si inserisce e manifesta in un contesto sociale ben definito mediante il proprio nome, la propria ubicazione geografica, un identificativo online o attraverso elementi caratteristici della propria identità fisica, economica, culturale o sociale (e, quindi, tratti distintivi come la professione, il livello di studi/formazione, ecc). Di contro, la suddetta normativa non fornisce una specifica definizione di dato sensibile. Tuttavia, con un richiamo espresso agli artt. 9 e 10 del citato regolamento europeo (GDPR n. 679/16), viene prospettata una indicazione generale del 'dato sensibile' attraverso la previsione e il contestuale riferimento ai dati relativi alla salute. In ragione di ciò, pertanto, de relato si definisce il dato sensibile come quella informazione relativa ad un soggetto specifico, risultando assimilabile alla sfera strettamente riservata, non identificabile, non conoscibile e non accessibile arbitrariamente dall'esterno e, dunque, riferibile alla propria condizione personale, clinico-sanitaria e/o giudiziaria. Ossia, coperta da un alto grado di riservatezza e di inaccessibilità poiché non necessaria alla identificazione di un soggetto nelle relazioni con l'intorno sociale e connessa ad un livello privato e profondo di riferibilità.
Le figure principali in materia di privacy
Vi sono diverse figure preposte alla tutela del dato personale e sensibile al fine di evitare una errata e ingiustificata divulgazione e una contestuale illegittima violazione della riservatezza (si pensi ad es. al caso del 'data breach').
Ciò premesso, le figure principali vengono individuate secondo il seguente schema:
- Titolare del trattamento dei dati: è il soggetto che si preoccupa di acquisire, soltanto dopo l'informativa resa, il dato personale e sensibile, informare il cliente del livello di protezione e di sicurezza posto in essere al fine di preservarne l'utilizzo e di indicare le finalità specifiche connesse all'acquisizione e all'utilizzo del dato stesso;
- Responsabile del trattamento dei dati: è il soggetto che, su indicazione proveniente unicamente del titolare, utilizza il dato acquisito riservando allo stesso una funzione strettamente correlata alla informazione resa al cliente e fedelmente connessa al contesto riferibile e nel quale verrà inserito e speso;
- Responsabile per la protezione dei dati (DPO – Data Protection Officer): è il soggetto, indipendente, deputato al controllo formale e sostanziale sul rispetto della normativa e, quindi, di tutela dei dati connesso con le misure di sicurezza, con l'analisi del rischio e con la valutazione di impatto privacy. Su tale figura si evidenzia la obbligatorietà circa la sua nomina dipendente dal contesto nel quale si opera, se pubblico o privato e, in particolar modo, dal monitoraggio regolare e sistematico di dati riferibili o meno su larga scala (ad es. si pensi all'acquisizione e al trattamento di dati compiuto da un'azienda sanitaria - dati su larga scala - e all'acquisizione di dati compiuto da un avvocato o da un dentista, insomma da un professionista che opera in un contesto privato – dati su scala ridotta);
- Cliente-interessato: è il soggetto che fornisce i propri dati personali e sensibili alla persona con la quale entra in contatto in ragione del rapporto professionale instaurato e che può essere una persona fisica (professionista) o giuridica (azienda sanitaria).
Comunicazione informativa privacy
Il soggetto incaricato e/o obbligato a rendere la corretta informazione sull'utilizzo dei dati e sul livello di protezione garantito, deve premurarsi di informare correttamente il destinatario e eseguire tale fase secondo dei tempi ben definiti. Tale passaggio incarna una preliminare e imprescindibile forma di garanzia in quanto necessariamente esperibile al fine di evitare una contestazione ex post, in caso di violazione, con la conseguenza diretta all'instaurazione di una procedura di riconoscimento del danno da violazione della privacy e contestuale richiesta di risarcimento.
Nello specifico, dunque, l'informativa sulla privacy andrà esposta prima dell'acquisizione dei dati e potrà essere fornita per iscritto (con il consueto documento pre-stampato), previa spiegazione dettagliata da parte dell'eventuale professionista di riferimento così da rendere edotto l'interessato e consapevolmente cosciente del trattamento. Inoltre, l'informativa, al fine di assolvere correttamente all'obbligo, potrà essere resa anche mediante il formato elettronico e, quindi, attraverso un invio telematico con l'utilizzo dei canali oramai diffusi (e-mail, pec).
Tuttavia, appare doveroso evidenziarlo, in entrambi i casi l'informativa sulla privacy dovrà prevedere il ricorso ad un linguaggio chiaro e semplice con una forma trasparente, immediatamente accessibile e concisa.
Principi applicabili al trattamento dei dati
La individuazione dei principi posti alla base del trattamento dei dati poggia preliminarmente le sue fondamenta su un principio cardine, l'accountability (o principio di responsabilizzazione), ossia il compito, posto in capo al titolare del trattamento, di assicurare e comprovare il rispetto dei principi applicabili al trattamento dei dati personali.
Da qui la previsione di quelli che secondo il Regolamento UE (n. 679/16) risultano i principi fondamentali applicabili al trattamento:
- Liceità, correttezza e trasparenza;
- Limitazione delle finalità;
- Limitazione della conservazione;
- Esattezza e aggiornamento;
- Integrità e riservatezza;
- Adeguatezza e pertinenza.
Conseguenze in caso di violazione del dato personale e sensibile
Laddove non si dovessero rispettare i succitati principi, posti a fondamento della riservatezza dell'individuo e della politica tesa a garantire un obbligatorio e comprovato controllo della privacy, inevitabili sarebbero le conseguenze in grado di configurarsi in capo al titolare del trattamento dei dati personali (ad es. un medico, un avvocato, un consulente finanziario, ecc.).
In particolare le richiamate conseguenze verrebbero definite in forza di un danno valutabile tanto nella misura patrimoniale quanto in quella non patrimoniale, evidentemente inserite in una ben definita azione di risarcimento in sede civile.
Il passaggio appena reso, tuttavia, impone una precisazione imperativa.
Nel caso in cui la titolarità del trattamento dei dati sia inserita in un contesto tanto pubblico quanto privato ma con un coinvolgimento di dati su larga scala, le sanzioni previste in materia di violazione della privacy (concretizzantesi in casi come il data breach, l'illegittima divulgazione, l'assenza di sistemi di protezione, l'inosservanza dell'analisi di rischio e della valutazione di impatto, la mancata applicazione dei codici crittografici, ecc.) potrebbero essere emesse direttamente dal Garante della privacy tenuto conto del grado di responsabilità a seguito di specifica segnalazione e connessa istruttoria. E, dunque, comportare l'applicazione alternativa della misura diretta alla repressione della violazione sotto una duplice forma a seconda della gravità rilevata:
- l'irrogazione di una sanzione pecuniaria con la quantificazione della multa;
- l'indicazione delle prescrizioni necessarie al fine di conformare il proprio comportamento;
Il diritto alla privacy e il riferimento specifico al trattamento del dato personale e sensibile rappresenta, in particolar modo con l'avanzare della tecnologia e dei sistemi informatici, un quadro giuridico e legislativo al quale dover prestare un necessario richiamo e una imprescindibile valutazione di garanzia. La circostanza secondo la quale poter definire o meno la violazione del dato e la contestuale acquisizione e divulgazione dello stesso in maniera accidentale, fortuita e non imputabile dipenderà dal grado di efficienza, tutela e predisposizione del preliminare programma informativo e strutturale a garanzia della privacy.
Stefano Raffaele Collazzo
DPO – Data Protection Officer
Studio Legale Vitulo
0510827368
Data: 20/06/2022 08:00:00Autore: Stefano Raffaele Collazzo