Sicuramente il 2016 è stata una data epocale per quanto riguarda la protezione e la libera circolazione del dato. Nel 2016, infatti, vede la luce il Regolamento Europeo sulla protezione dei dati, l’RGPD 16/679, che segue il solco della normativa precedente, sicuramente, ma che, per esempio, non è più una direttiva (i.e. 675/96).
Se precedentemente la normativa prevedeva un recepimento a livello nazionale, l’RGPD 16/679 nella sua qualità di Regolamento Europeo, è “self executing” direttamente operativo sia a livello comunitario che a livello nazionale, nonostante poi le varie leggi da cui sono scaturite, come il Dlgs 101/18 volto a novellare la precedente legge a riguardo, in Italia, la 196/2003.
Detto che è un regolamento, l’ottica dell’RGPD è stata quella di scardinare quanto fosse fissato nel pensiero collettivo, riguardante la materia complessa della protezione dei dati, fornendo un approccio diverso. Il termine accountability, ovvero la responsabilizzazione del titolare del trattamento, colui che definisce le modalità ed i fini del trattamento dei dati relativo al suo interesse specifico, fa breccia nell’immaginario collettivo ed è cuore pulsante di ciò che deve cercare un’azienda, ai giorni nostri, per garantire che i diritti dell’interessato vengano tutelati in ambito compliance privacy.
Il titolare deve dimostrare che siano state messe in atto tutte le garanzie dal punto di vista dell’organizzazione e della sicurezza, nell’ambito i cui dati sono trattati per far sì che questo concetto venga rispettato. Per cui si passa da una gestione del sistema privacy meramente documentale, ad un costrutto più variegato volto a far sì che il principio della cosiddetta RID, Riservatezza, Integrità e Disponibilità del dato sia incentrato su di un perimento di responsabilizzazione a livello organizzativo, tecnico e pratico.
Si ricorda inoltre che l’RGPD ha tra i suoi “incipit base” la libera circolazione del dato a livello di Spazio Economico Europeo, e proprio L’RGPD vuole armonizzare a livello comunitario tutto ciò che ha a che fare con il dato e la sua circolazione, ponendo dei paletti e creando un sottoinsieme di regole necessarie perché questo trattamento avvenga nell’ottica di una legalità globalizzata.
Le recenti pronunce sull’invalidazione del Privacy-Shield, per esempio, nel luglio 2020, nonché quelle relative all’utilizzo degli Analytics, trattano un discorso che si interseca bene all’interno di questo spazio comune europeo per la circolazione del dato. Se il paese “esterno” non garantisce le stesse caratteristiche di virtù a livello europeo, il trattamento non può essere posto in essere. Un ecosistema europeo che garantisca gli stessi diritti, appunto, dell’interessato e che possa essere un’egida a livello globale che fa sì che l’Europa sia capofila nel settore.
Concludendo, l’RGPD non è la sola novità a livello europeo per quanto riguarda il campo della circolazione del dato. Il recente Data Governance Act, approvato nel maggio di quest’anno, con la portata degli “atti europei” (i.e. Il Digital Act, Il Digital Market Act, Il Digital Service Act) vuole favorire appunto questa circolazione principalmente all’interno del settore pubblico europeo e può essere visto come una continuazione dell’opera del legislatore nell’armonizzazione del sistema normativo europeo, che può essere considerato come da capofila a livello globale.
A cura di:
Amedeo Leone | Security Consultant