Garcia Márquez parlava dell’amore ai tempi del colera. L’azione del DPO in questo periodo di emergenza, però, deve avere un approccio meno romantico e più razionale.
Di recente, con l’emergenza Coronavirus, tanto sui social network quanto su alcune testate giornalistiche, si sta disputando un immaginifico “match” fra tutela della sanità pubblica e privacy. Non mancano affermazioni roboanti che declamano una sorte di sconfitta del diritto alla privacy in nome di esigenze di sanità pubblica, o di “disapplicazione” del GDPR.
Più che comprensibile il rantare, il clicbaiting o altrimenti un po’ di trolling generato dalla noia domestica. Meno comprensibile, però, è se tale presentazione dei fatti viene posta sotto le lenti di un approccio logico e giuridicamente orientato ai principi e alle prescrizioni in materia di protezione dei dati personali.
Bisogna chiarire che nel momento in cui oggi si cita la privacy, oggi, si fa riferimento al concetto più ampio di protezione dei dati personali fra cui rientrano ad esempio le norme contenute nel GDPR, nella Direttiva 2016/680 (c.d. “Direttiva Polizia”), nella Convenzione di Strasburgo (c.d. “Convenzione 108”) o nella Carta dei diritti fondamentali dell’Unione europea (c.d. “Carta di Nizza”). Tali norme, in via generale, regolamentano le attività di trattamento svolte sui dati personali, attribuiscono responsabilità ai vari soggetti che svolgono le operazioni sui dati e garantiscono tutele e diritti alle persone fisiche cui si riferiscono i dati.
Il considerando n. 4 GDPR stabilisce espressamente che «Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.». Non appare riscontrabile dunque alcuna “disapplicazione” del GDPR.
L’azione di sorveglianza del DPO non può dirsi intaccata né la sorveglianza può dirsi sospesa in ragione del periodo emergenziale. Anzi: deve avere ad oggetto le ulteriori attività di trattamento svolte, tutelando i dipendenti o i soggetti che accedono agli ambienti lavorativi ed evitando che il titolare del trattamento svolga quelle iniziative fai-da-te già censurate dal Garante. Deve verificare preliminarmente che siano presenti le informazioni, ma ancor prima che i trattamenti siano progettati rispettando i principi del GDPR, fra cui rientrano ad esempio le garanzie in ordine al mantenimento della base giuridica (soprattutto per la raccolta e comunicazione dei dati), al principio di minimizzazione (evitando di raccogliere e/o registrare dati non necessari al perseguimento delle finalità dichiarate), alla conservazione dei dati (definendo i tempi di cancellazione in relazione alle finalità perseguite) e alla trasparenza (redigendo informazioni chiare circa le attività di trattamento svolte). Coerentemente, poi, il DPO deve sollecitare il titolare del trattamento ad aggiornare i registri e, valutandone l’opportunità, a svolgere una valutazione preliminare d’impatto in ragione delle nuove attività svolte.
Inoltre, considerati i nuovi rischi di attacchi informatici, il DPO deve informare il titolare del trattamento a riguardo e curare la sensibilizzazione degli operatori al fine di prevenire l’azione di cybercriminali.
Il DPO è un lavoro specialistico che richiede professionalità, un approccio proattivo e un’azione di sorveglianza continua che deve sempre essere proporzionata al contesto operativo delle attività di trattamento svolte sui dati personali, tenendo conto anche di tutti quei fattori esterni che possono avere un’incidenza sul rischio.
