Fra le categorie di interessati alle attività di trattamento dei dati personali, quella degli interessati vulnerabili è di particolare importanza. Tale argomento è stato affrontato, ad esempio, relativamente al tema del registro elettronico, delle garanzie di TikTok, o anche in relazione a determinate campagne di phishing e, pur riguardando inevitabilmente tutti i principi applicabili in materia di protezione dei dati personali, assume un ruolo pivotale sotto i profili della trasparenza e della sicurezza delle informazioni.
Ma dove si trova tale definizione?
Nel GDPR, si riscontra nel considerando n. 75, il quale nel precisare l’approccio risk-based, richiama, come esempio di trattamento cui prestare particolare attenzione, le attività svolte sui “dati personali di persone fisiche vulnerabili, in particolare minori”. Inoltre, viene espressamente richiamata all’interno delle Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679 – WP248, fra i criteri di valutazione di rischio (intrinseco) elevato dei trattamenti.
Secondo la definizione fornita, sono vulnerabili gli interessati che si collocano in una relazione connotata da uno squilibrio di potere nei confronti del titolare del trattamento, e che per l’effetto possono “non essere in grado di acconsentire od opporsi al trattamento dei loro dati o di esercitare i propri diritti”, quali ad esempio minori, dipendenti, o segmenti più vulnerabili della popolazione che richiedono una protezione speciale (infermi di mente, richiedenti asilo, anziani, pazienti, etc.).
Una volta chiariti i connotati che definiscono la categoria degli interessati vulnerabili, per quale motivo è così importante provvedere ad una loro tutela e in che modo?
Se il trattamento dei dati deve essere “al servizio dell’uomo” (considerando n. 4 GDPR) e consentire “che le persone fisiche abbiano il controllo dei dati personali” (considerando n. 7 GDPR), soprattutto nel contesto della trasformazione digitale, le tutele devono seguire un approccio human-centered e garantire l’effettività di un “elevato livello di protezione dei dati personali” (considerando n. 6 GDPR). Ciò è possibile solo dando rilievo alle caratteristiche dell’interessato, clusterizzandolo secondo livelli di protezione differenziata, tanto in considerazione della sua relazione con il titolare del trattamento che del rischio intrinseco cui è esposto in ragione delle operazioni di trattamento svolte.
Diventano così di particolare riguardo due aspetti: la trasparenza, al fine di consentire all’interessato di comprendere ed esercitare i propri diritti e per l’effetto di controllare i propri dati; la sicurezza, al fine di prevenire determinate minacce o contenerne l’impatto in modo adeguato. Questi obblighi incombono sul titolare del trattamento in forza dell’art. 25 GDPR, per cui, sin dalla progettazione e in ogni momento del trattamento, devono essere predisposte ed attuate misure tecniche ed organizzative “volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
