Con il Regolamento Ue n.679 del 2016, l’Europa ha imposto a tutti gli stati membri l’obbligo di adeguarsi alla normativa in tema di protezione dei dati personali. La materia in oggetto ha richiesto un’espressa regolamentazione che ha condotto i vertici dell’Ue ad emanare un regolamento che, per propria natura e definizione, è applicabile self-executing: segnale di un’urgenza piena e comune a tutti gli stati componenti del panorama europeo, che non poteva più tardare nella sua attuazione: definendo come ultimo termine applicativo per l’Italia, il 25 maggio 2018.

L’ingresso del GDPR (General Data Protection Regulation) è stata solo la fase finale di un percorso avviato nel 2003 con l’emanazione del D.lgs. n.196, che ha introdotto il Codice della Privacy-in materia di protezione dei dati personali prima; e, con la Legge 24.12.2012, n.23 poi, che ha previsto a carico del legislatore la “semplificazione della normativa e l’indicazione esplicita delle norme abrogate” qualora risultino disposizioni incompatibili con l’intera disciplina, in modo da preservare ancorché, l’organicità dell’ordinamento nazionale in armonia con quello europeo.

Un principio cardine questo, che ben si è prestato all’odierno GDPR che ha potuto amalgamarsi naturalmente nel corpus legislativo dapprima presente e rispondere all’esigenza di puntare la lente sulla figura dell’utente in quanto persona fisica (“user centric”) e soprattutto, sulla sua difesa dei suoi diritti.

Specificatamente il GDPR nasce per regolamentare la privacy in tutti i suoi utilizzi, siano essi privati o pubblici, sia che navighino on line oppure off line: l’obiettivo come anticipato, è tutelare le informazioni dotate dagli utenti che decidano di navigare o acquistare in rete. Da questo presupposto, il dettato normativo di cui all’art. 23 del GDPR ha imposto in capo al titolare trattante dei dati sensibili, i principi di privacy by design e di privacy by default; tali principi nascono in ossequio del risk based approach, cioè del criterio con cui viene calcolato il grado di responsabilità del titolare o del garante del trattamento, prendendo in considerazione tutti i fattori caratterizzanti l’attività: quali la tipologia, la grandezza, la capacità di produrre effetti e, le finalità del trattamento dei dati perseguite dalla stessa.

Pertanto, un criterio di valutazione di questo genere, porta il responsabile dei dati, a ragionare ed a riflettere sul genere di attività di trattamento che vuole porre in essere, in relazione (altresì) alla potenzialità di rischio a cui sono esposti i diritti dei suoi utenti. Sicché, è evidente di conseguenza, che una maggiore attenzione comporterà obblighi più stringenti, come può avvenire nelle ipotesi di trattamento di dati notevolmente sensibili (come quelli sintomatici dello stato di salute o della vita sessuale di una persona) o, nelle ipotesi di trattamento di generalità legate ad un minore.

Il primo step quindi, è l’adozione, fin dalla fase iniziale di progettazione della propria attività e poi anche in quella di esecuzione, di strumenti tecnici ed organizzativi idonei a tutelare dati sensibili da potenziali procedure illecite esterne (privacy by design); suggerendo altresì l’impiego di tecnologie supplementari, adatte a ridurre possibili fenomeni lesivi ai danni delle informazioni: le Privacy Enhancing Technologies – (PET), salvaguardando contestualmente la funzionalità del sistema informativo.

In secondo luogo, è necessario che i dati reperiti dalla registrazione degli utenti, siano trattenuti per un periodo strettamente necessario ad assolvere le finalità prestabilite e dichiarate ab originem (privacy by default). La parola d’ordine quindi, è ”ridurre al minimo” l’utilizzo degli estremi indentificativi dell’utente, riuscendo allo stesso tempo a bilanciare equamente l’impiego dei dati con il periodo di immobilizzazione degli stessi.

Il mancato rispetto dei principi fin d’ora elencati, può comportare una ammenda fino a €20.000.000; con la  riserva tuttavia, secondo l’art.83, Comma2, lett. d), di “rimodellare” la sanzione predetta alle misure tecniche ed organizzative assunte.

Fondamentale a questo punto, è sottolineare il ruolo del titolare del trattamento: la cui responsabilità nasce non solo nel momento in cui questo non adempia agli obblighi di conformità imposti dalla normativa sopra citata, ma possa essere esposto ad ulteriori oneri (spiacevoli), qualora non riesca a dimostrare la realizzazione di ogni singola operazione di assolvimento. Il GDPR, non richiede al titolare l’utilizzo imperativo di categoriche “misure tecniche organizzative”, ma quanto concede un apprezzabile margine di scelta sulle modalità che appaiono più appropriate alle sue esigenze, con l’incombenza tuttavia di: provare il perché delle proprie scelte, documentarle ed infine, garantire una vigilanza costante sui dati acquisiti nel sistema. L’ulteriore novità della normativa sta proprio in quest’ultimo punto: incaricare il titolare di avvertire l’autorità di controllo (entro 72 ore dall’avvenuta conoscenza del fatto) nell’eventualità che avvenga una violazione dei dati personali.