Libera circolazione dei dati, diritto all’oblio, valutazione d’impatto. Dopo l’entrata in vigore del D.lgs. 101/18, che ha adeguato il nostro diritto interno ai principi dettati dal GDPR, il quadro giuridico relativo alla privacy ha continuato ad arricchirsi senza sosta di eventi, norme, pronunce, orientamenti.
Gli ultimi trenta giorni sono stati particolarmente fecondi di novità.
A livello europeo va segnalato che la stessa Unione ha ritenuto di dotarsi di un regolamento ad hoc per la tutela dei dati personali. Si tratta del regolamento (UE) 2018/1725 del 23 ottobre 2018, che si applica al trattamento dei dati personali da parte di tutte le istituzioni e di tutti gli organi e gli organismi dell’Unione.
Esso segue dichiaratamente i principi del GDPR ed ha lo scopo di creare una disciplina il più possibile uniforme tra il trattamento dei dati operato negli uffici pubblici nazionali e quello proprio delle Istituzioni europee.
Sempre in sede europea, è di pochi giorni fa la notizia che il Consiglio europeo ha dato il via libera alla riforma della circolazione dei dati non personali all’interno dello spazio UE. Tali dati includono, ad esempio, quelli generati automaticamente, come i dataset aggregati e resi anonimi utilizzati per le analisi dei big data o le informazioni aziendali.
Si tratterà di un passo avanti per lo sviluppo dell’Internet of Things, dell’intelligenza artificiale e dell’apprendimento automatico: il provvedimento renderà infatti più facile il trasferimento di dati anonimi, vietando le restrizioni alla localizzazione dei dati imposte dagli Stati membri per quanto riguarda l’ubicazione geografica della conservazione.
Spostando l’attenzione sul nostro Paese, le novità importanti sono almeno due.
La terza sezione della Cassazione, con ordinanza del 4.11.2018 n. 28084/18 ha rimesso alle Sezioni Unite della stessa Suprema Corte, la questione del bilanciamento tra diritto di cronaca e diritto all’oblio.
In particolare, la Sezione semplice ha chiesto alla massima espressione del Giudice di legittimità di individuare degli univoci criteri di riferimento i quali consentano, agli operatori del diritto, di conoscere preventivamente i presupposti in presenza dei quali un soggetto ha diritto di chiedere che una notizia a sé relativa, diffusa in passato, non resti esposta e non sia divulgata a tempo indeterminato.
Siamo quindi prossimi a una definizione giurisprudenziale autorevole di alcuni criteri ancora troppo indeterminati, quali l’interesse pubblico alla notizia e l’attualità della stessa, che consentono ai giornalisti di superare le strettoie della disciplina del trattamento dei dati personali.
Venendo alla seconda novità, il Garante per la protezione dei dati personali, nell’ambito della febbrile attività di questi mesi, ha emanato in data 15.11.2018 un provvedimento che individua l’elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto (documento pubblicato sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018).
Si tratta di un documento importante per i grandi soggetti che lavorano con i dati personali.
Tra le ipotesi in cui sarà obbligatoria la valutazione di impatto, si segnalano almeno: trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti; trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo – es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento.
L’articolo è stato redatto dall’Avv. Giuseppe Colaiacomo che per CRTV ha curato il capitolo iniziale del primo manuale “GDPR, il nuovo regolamento privacy. Istruzioni per l’uso”, pubblicato dall’Associazione in collaborazione con @LuissLawLab lo scorso maggio in occasione dell’entrata in vigore nella Unione Europea. Una seconda pubblicazione “GDPR, l’adeguamento interno. D.Lgs 101/2018” e prossima alla stampa. CRTV presidia il tema per gli associati del settore radiotelevisivo con un gruppo di lavoro dedicato che coinvolge le figure professionali che si occupano della privacy nelle aziende associate; e con una serie di attività che porteranno all’elaborazione di un codice di condotta di settore, compito precipuo delle Associazioni di categoria, alla redazione di formulari standard per alcuni adempimenti, quali ad es. la nomina del DPO e le informative, alla richiesta chiarimenti al Garante.
