Nell’imminenza del prossimo 25 maggio 2018, data in cui entreranno in vigore le norme del GDPR (General Data Protection Regulation), ossia il nuovo Regolamento Europeo n. 679/2016, un fiume torrenziale di “Technical Support Cyber Security & ICT Solutions” dispensano gratuitamente alla Pubblica Amministrazione, “linee guida” – effetto collaterale del virus delle linee guida introdotto da ANAC negli appalti pubblici – alla quale dovrebbe allinearsi le amministrazioni per soddisfare le nuove disposizioni in tema di data Protection introdotte dal GDPR.
Anche in tema di Privacy si è così materializzata dall’immateriale normativa in tema di protezione del dato una legione di “esperti” né giuristi, né economisti, né informatici o Ingegneri gestionali, che consigliano strategia e propongono fasi di un processo di data Protection, banalizzato in modelli formali, buone per tutte le esigenze e per tutte le stagioni.
E’ bene ribadire che nella nuova configurazione data dalla normativa UE il principio chiave è la liceità del trattamento dei dati se e in quanto l’interessato ha dato un esplicito consenso al trattamento. In tale prospettiva il dato personale assume la funzione e, quindi, la natura di merce che il titolare del trattamento può utilizzare, valutare, trasmettere sempre però sulla base del rispetto dei principi generali di proporzionalità, adeguatezza, pertinenza e non eccedenza rispetto alle finalità per cui il consenso al trattamento fu reso.
Laddove, invece, il consenso dell’interessato viene revocato il dato ripristina la sua natura di diritto indisponibile, rientrando nell’ambito del perimetro dei diritti della persona non più intesa in senso tradizionale, nome, immagine, reputazione ecc., ma nell’ambito più vasto delle sue relazioni e rapporti ossia dell’idea pubblica che ciascuno ha di se o di quella che ritiene che dovrebbe essere la rappresentazione pubblica si se e che la pubblicità del dato, invece, lede. Il dato personale, quindi, nella nuova prospettiva della normativa europea è un elemento metagiuridico in quanto se trattato con il consenso è merce, ma se il consenso viene revocato allora si ripristina, in forza di tale atto di manifestazione di volontà la natura di diritto indisponibile.
Corollario inevitabile è che nella moderna società dell’informazione la trasmissione dei dati è, di fatto, illimitata e incontrollata perché internet esiste in quanto vi sono dati che popolano la rete e, quindi anche in presenza della revoca del consenso non è affatto probabile che il dato scompaia dai social network o dai motori di ricerca. Infatti nonostante che sia stato statuito dalla recente decisione della Corte di giustizia dell’Unione europea il 13 maggio 2014 che i motori di ricerca in Europa hanno il dovere di soddisfare le richieste di rimuovere i risultati relativi a chiavi di ricerca che includono il nome del soggetto che richiede la rimozione e, tuttavia, i dati per poter essere rimossi devono comunque essere valutati dal motore di ricerca stessa come inadeguati, irrilevanti o non più rilevanti, o eccessivi, valutazione che presuppone un bilanciamento tra il diritto dell’individuo a controllare i suoi dati personali ed il diritto di tutti di conoscere e dei motori di ricerca di distribuire le informazioni.
In tale prospettiva, di sostanziale incontrollabilità di circolazione del dato, occorre allora interrogarsi su qual è il perimetro del trattamento lecito e sulla connessa responsabilità penala, amministrativa e civile che è da imputare sia al soggetto di vertice della P.A. o dell’Azienda, che è titolare del trattamento, che al Data Protection Officer che assume su di se il relativo incarico di affiancare il titolare nel trattamento.
Per dare una risposta a questi interrogativi bisogna muovere dal secondo in quanto la responsabilità (“accountability”) del titolare del trattamento, resta sempre e comunque in solido con il data Protection Officer in quanto è esclusa se la prova dell’azione svolta e delle misure adottate sono coerenti e conformi con “……le prescrizioni del regolamento” se sono state adottate le corrispondenti “……. misure tecniche che organizzative” in tali casi saremo in presenza di una scriminante per la responsabilità penale e amministrativa, quest’ultima rispetto alle azioni esperibili dall’autorità garante, ma non certamente rispetto a quella civile che si fonda sulla responsabilità ex art. 2051c.c., del danno cagionato dalle cose in custodia (dati), che anche se gestiti in conformità alle prescrizioni del regolamento e alle relative misure tecniche ed organizzative comporta responsabilità se non si dà la prova ( con inversione dell’onere della prova) che il danno si è prodotto per caso fortuito.
Inoltre la responsabilità del titolare del trattamento è configurabile anche sotto il diverso profilo della responsabilità per culpa in eligendo ai sensi dell’art. 2049 del Codice civile norma che prescrive che i padroni e i committenti ( titolari del trattamento dei dati) sono sempre responsabili per i danni arrecati dal fatto illecito dei loro dipendenti ( D.P.O. interni) o incaricati (D.P.O. professionisti o società di servizio), quindi o in base al rapporto di dipendenza o di collaborazione professionale.
Articolo di Michele Gorga, Avvocato.