Il Regolamento Generale sulla Protezione dei Dati Personali – più precisamente: sulla tutela delle persone fisiche con riferimento al trattamento dei dati personali e alla loro libera circolazione (Regolamento UE 679/ 2016 – RGDP, in inglese “General data protection regulation”, GDPR) – è un atto normativo, composto da 99 articoli, con il quale la Commissione Europea intende rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini, sia all’interno sia all’esterno dei confini dell’Unione europea. Il testo, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, è diventato definitivamente applicabile, in via diretta e uniforme, in tutti i paesi UE a partire dal 25 maggio 2018. Infatti, la normativa all’interno dell’Unione Europea prevede che “il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile In ciascuno degli Stati membri” (art. 288, par. 2 TFUE). Si tratta quindi di un atto giuridico vincolante, diretto non solo agli Stati membri, ma anche ai singoli.
Il Regolamento europeo si applica alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali (art. 2 GDPR, ambito di applicazione materiale). Il GDPR si applica inoltre (art. 3, ambito di applicazione territoriale) al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte del titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione, se relativi all’offerta di beni o servizi a cittadini UE o tali da comportare il monitoraggio dei comportamenti di cittadini UE (attrattività del Regolamento nei confronti dei cittadini UE).
Il RGDP è parte del cosiddetto “pacchetto protezione dati personali”, l’insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’Unione Europea, e comprende anche la “Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini”. Dal 25 maggio 2018, dunque, anche per le Istituzioni scolastiche, riconosciute pubbliche amministrazioni ai sensi dell’art. 1, comma 2 del D. Lgs. 165/ 2001, il RGPD ha sostituito la Direttiva sulla protezione dei dati (ufficialmente Direttiva 95/ 46 /EC) emanata nel 1995, ridefinendo la disciplina europea in materia di “Data Protection” e introducendo numerosi importanti cambiamenti.
Nell’ambito del nuovo quadro normativo che la Commissione Europea ha voluto delineare e al quale gli Stati membri devono conformarsi, l’Italia ha recepito i nuovi principi attraverso l’articolo 13 della legge 25 ottobre 2017, n. 163 (“Delega al governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione Europea – legge di delegazione europea 2016- 2017”). Tale legge, entrata in vigore il 21 novembre 2017, ha attribuito al Governo la delega ad adottare (entro sei mesi) uno o più provvedimenti volti ad abrogare espressamente le disposizioni del Decreto Legislativo n. 196/2003 (l’attuale “Codice privacy”) che siano in contrasto o comunque incompatibili con la nuova disciplina europea in tema di trattamento di dati personali e a modificare le norme codicistiche in relazione a disposizioni del Regolamento Europeo non direttamente applicabili, in modo da coordinare e armonizzare le disposizioni vigenti in materia di protezione dei dati personali con la normativa europea. Il Decreto di adeguamento avrebbe avuto inoltre lo scopo di allineare l’attuale regime sanzionatorio, a livello penale e amministrativo, alle disposizioni del RGPD, al fine di garantire la corretta osservanza della nuova normativa. Il 4 settembre 2018 è stato quindi pubblicato in Gazzetta Ufficiale il D. Lgs. 10 agosto 2018, n. 101, Decreto Legislativo di adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679, entrato in vigore il 19 settembre 2018.
Tra le principali novità introdotte dal GDPR possiamo sinteticamente menzionare il principio di responsabilizzazione (accountability, artt. 7 e 24 GDPR), la ridefinizione diritti dell’interessato nell’informativa e in relazione alla manifestazione del consenso al trattamento dei dati personali (artt. 13 e 14 GDPR), il cd. “diritto all’oblio” (art. 17 GDPR), il diritto alla portabilità (art. 20 GDPR) e la figura del Responsabile della Protezione Dati (RPD, artt. 37-38-39 GDPR), che affianca quelle preesistenti del Titolare del Trattamento e del Responsabile del Trattamento.
Va però osservato che, sin dalla sua pubblicazione nella gazzetta Ufficiale della UE, nel 2016, il GDPR ha posto questioni interpretative, alcune delle quali ancora da risolvere da parte principalmente del Garante Privacy (non solo italiano, ma di qualunque Stato membro) e di coordinamento con la disciplina nazionale già in vigore. Il Codice della Privacy (D. Lgs. n. 196/2003) e il Regolamento Europeo sono infatti il prodotto normativo di due approcci giuridici e, si potrebbe dire, di due filosofie di pensiero completamente diversi: mentre il Codice è prescrittivo, il Regolamento si basa sul principio di accountability o di responsabilizzazione (artt. 7 e 24 GDPR), che integra una presunzione legale di conformità e consiste nell’obbligo per il Titolare del Trattamento di adottare misure tecniche e organizzative adeguate, appropriate ed efficaci per garantire che il trattamento è effettuato in conformità al Regolamento e in attuazione dei principi di protezione dei dati da esso previsti (art. 5 GDPR); la responsabilizzazione inoltre comporta la necessità di dimostrare, su richiesta dell’interessato, che sono state adottate misure appropriate ed efficaci.
Più precisamente, il Regolamento UE parte da un approccio fondato sul principio di cautela, basato sul rischio del trattamento e su misure di accountability obbligatorie per titolari e responsabili (come la valutazione di impatto, il registro dei trattamenti, le misure di sicurezza, la nomina di un RDP-DPO). Come ha evidenziato il Garante Privacy nella guida all’applicazione del Regolamento, la nuova disciplina europea pone con forza l’accento sulla “responsabilizzazione” (accountability) di titolari e responsabili, ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta messa in atto di misure finalizzate ad assicurare l’applicazione del regolamento. La responsabilizzazione (accountability) dei titolari e dei responsabili del trattamento è quindi il cardine del regolamento ed ha a sua volta, come corollario, il principio di rendicontazione: l’interessato ha diritto di essere informato in modo trasparente e dinamico sui trattamenti effettuati sui suoi dati personali.
Il cambio di prospettiva e la vera novità introdotta dalla normativa europea stanno però nel fatto che l’accento ora non è più tanto posto sulla responsabilità inerente alle attività svolte per raggiungere un determinato risultato, quanto sulla definizione specifica e trasparente dei risultati attesi – che formano le aspettative dell’interessato –, sui quali la responsabilità stessa si basa e sarà valutata. La definizione degli obiettivi costituisce, dunque, un mezzo per assicurare l’accountability. Inoltre, insieme al concetto di responsabilità, l’accountability presuppone quelli di trasparenza e di compliance. La prima è intesa come la possibilità di accesso alle informazioni concernenti ogni aspetto dell’organizzazione, accesso a sua volta finalizzato a rendere visibili all’esterno decisioni, attività e risultati. La seconda si riferisce al rispetto delle norme ed è intesa sia come garanzia della legittimità dell’azione sia come adeguamento dell’azione stessa agli standard stabiliti da leggi, regolamenti, linee guida etiche o codici di condotta. Sotto questi aspetti, l’accountability può anche essere definita come l’obbligo di spiegare e giustificare il proprio comportamento.
Il Regolamento, quindi, ponendo alla base del sistema la responsabilizzazione dei titolari/responsabili del trattamento, sostiene l’adozione da parte loro di approcci e politiche che mantengano costantemente alta l’attenzione riguardo al rischio che un determinato trattamento di dati personali possa comportare per i diritti e le libertà degli interessati. Questo aspetto è sottolineato già nel “Considerando 74”, posto in premessa al testo del GDPR: “E’ opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto …”. Il titolare del trattamento dei dati deve di conseguenza poter dimostrare non solo di aver adottato processi di conservazione e trattamento conosciuti dall’organizzazione (Garante), ma anche di avere messo in atto una strategia complessiva di misure giuridiche, organizzative e tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi; deve inoltre dimostrare, in modo positivo e proattivo, che i trattamenti di dati effettuati sono adeguati e conformi al Regolamento europeo in materia di privacy.
Oltre al principio di accountability, il Regolamento europeo fissa, all’art. 5, altri principi fondamentali di portata generale:
- liceità, correttezza e trasparenza: i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- limitazione delle finalità: i dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità oppure comunque a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
- minimizzazione dei dati: i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esattezza dei dati: i dati personali sono esatti e, se necessario, aggiornati;
- limitazione della conservazione dei dati: i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi se trattati esclusivamente ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
- integrità e riservatezza: i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, dai trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Non cambiano invece i presupposti di liceità del trattamento, delineati dall’art. 6 del GDPR. Essi, in linea di massima, coincidono con quelli del D. Lgs. n. 196/2003 (consenso, adempimento di obblighi contrattuali, interesse vitale della persona interessata o di terzi, obbligo di legge, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati sono comunicati), però con alcuni cambiamenti:
-
- consenso: (i) deve essere esplicito per i dati sensibili e in caso di trattamenti automatizzati, compresa la profilazione. “Esplicito” non è sinonimo di forma scritta, benché questa sia la modalità idonea per configurare l’inequivocabilità del consenso e, in ogni caso, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento; (ii) il consenso dei minori è valido a partire dai 16 anni;
- interesse vitale di un terzo: è invocabile a condizione che, nella fattispecie concreta, nessuna delle altre condizioni di liceità possa trovare applicazione;
- interesse legittimo prevalente di un titolare o di un terzo: il bilanciamento tra tale interesse e i diritti e la libertà dell’interessato spetta allo stesso titolare (estensione del principio di “responsabilizzazione”, uno dei cardini del GDPR);
- informativa: i contenuti dell’informativa sono tassativamente indicati negli artt. 13, par. 1, e 14, par. 1, del GDPR. In parte essi sono più ampi rispetto al D. Lgs. 196/2003. In particolare, l’informativa deve contenere: (i) i dati di contatto del RDP-DPO (Responsabile della protezione dati – Data Protection Officer), ove esistente; (ii) la base giuridica del trattamento; (iii) l’interesse legittimo, se costituisce la base legittima del trattamento; (iv) se i dati sono trasferiti in Paesi terzi e, in caso affermativo, attraverso quali strumenti; (v) periodo di conservazione dei dati o i criteri per stabilire tale periodo; (vi) diritto di presentare un reclamo all’autorità di controllo; (vi) in caso di processi decisionali automatizzati, compresa la profilazione, indicazione della logica di tali processi e delle conseguenze previste per l’interessato. Per i minori occorre prevedere informative idonee (scritte in un linguaggio semplice e chiaro che un minore possa facilmente capire). Nell’ipotesi di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un tempo non superiore a un mese dalla raccolta, oppure al momento della comunicazione dei dati.
Va altresì tenuto conto del fatto che, in linea di principio, il consenso non è idoneo fondamento del trattamento dei dati da parte della Pubblica Amministrazione, perché essa (e quindi anche le Istituzioni scolastiche autonome) dovrebbe operare sulla base di altri presupposti, consistenti essenzialmente in norme di legge o in un interesse pubblico riconosciuto in specifiche disposizioni. L’istituzione scolastica, quando pone in essere attività di tipo istituzionale, non ha quindi bisogno di ottenere il consenso dell’interessato. Di conseguenza il consenso non è un presupposto necessario per la liceità della stragrande maggioranza dei trattamenti da parte della PA, perché sono le norme che individuano gli ambiti dei trattamenti stessi. Inoltre, se è vero che il Regolamento europeo prevede il diritto di opposizione, è però altrettanto vero che la PA può neutralizzarlo con adeguata motivazione. A tale riguardo, come messo in luce dal “Considerando 43”, ogni volta che il “controller” (ossia il “titolare del trattamento”) è un’Autorità pubblica, c’è spesso un evidente squilibrio di potere nella relazione tra il “responsabile del trattamento” e l’interessato. E’ del resto chiaro che, nella maggior parte dei casi, l’interessato non avrà alcuna alternativa rispetto all’accettazione del trattamento da parte dell’Autorità pubblica. Il consenso deve essere, ad ogni modo, espresso mediante un atto con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali (mediante dichiarazione scritta). I minori meritano una specifica protezione relativamente ai loro dati personali. Il trattamento dei dati personali deve essere lecito e corretto.
Nella sintesi richiesta dal presente contributo, sono stati messi in evidenza, in linea generale, solo alcuni dei principali elementi caratterizzanti il GDPR. Va ad ogni modo considerato che si tratta di un diritto in fieri, da tenere costantemente sotto controllo alla luce di Linee Guida e di strumenti interpretativi che verranno sicuramente resi noti dal Garante della Privacy nel corso dei prossimi mesi.
Dall’esame della materia emerge come sia, oramai, imprescindibile un cambiamento di mentalità che porti alla piena tutela della privacy, da considerare non tanto come un oneroso rispetto di adempimenti burocratici, quanto piuttosto come garanzia, per il cittadino che si rivolge alle pubbliche amministrazioni, di una riservatezza totale dal punto di vista reale e sostanziale.
Il diritto alla privacy è un diritto inviolabile della persona che non si limita alla tutela della riservatezza o alla protezione dei dati, ma implica il pieno rispetto dei diritti e delle libertà fondamentali e della dignità della persona. Per questi motivi la cultura della privacy necessita di crescere e rafforzarsi, principalmente fra gli operatori delle pubbliche amministrazioni, perché solo con la conoscenza consapevole dei principi fondamentali che stanno alla base della vigente normativa potranno essere adottati correttamente tutti gli adempimenti di legge, nel trattamento di dati di competenza, con la consapevolezza di non affrontare un inutile gravame, bensì di contribuire concretamente al miglioramento della qualità del rapporto con l’utenza.
Laureata in Lettere Classiche e in Giurisprudenza, docente di ruolo dal 1992, ho insegnato inizialmente Italiano e Latino e poi Latino e Greco al Liceo Classico. Attualmente insegno Italiano e Storia presso l’ITT “G. Fauser” di Novara, città in cui risiedo. Ho conseguito due Dottorati di ricerca, il primo in Diritto Romano e Diritti Antichi, presso la Facoltà di Giurisprudenza dell’Università “Mediterranea” di Reggio Calabria, il secondo in Storia Antica presso l’Università di Torino. Ho esercitato la professione di avvocato fino al 2015. Nella scuola ho rivestito diversi incarichi di collaborazione, come Funzione Strumentale per le attività culturali e come membro del GLI e del gruppo di lavoro sull’Alternanza Scuola Lavoro.
