skip to Main Content

GDPR, un primo bilancio applicativo. L’analisi del Prof. Giovanni Maria Riccio

Prof. Riccio, assieme all’avv. Guido Scorza ed all’avv. Ernesto Belisario, ha curato “GDPR e normativa Privacy – Commentario”*, pubblicato subito dopo l’entrata in vigore del Nuovo Regolamento Europeo sulla tutela dei dati personali A poco più di cinque mesi dalla completa entrata in vigore del GDPR, quale primo bilancio possiamo tracciare?

Difficile, al momento, fare un bilancio. Il GDPR ha uniformato il diritto europeo alla protezione dei dati personali, investendo, però, realtà economiche e sociali differenti.

In altri termini, è diverso l’impatto del Regolamento su piccole realtà pubbliche (come, ad esempio, le scuole), che scontano limiti evidenti di risorse economiche, e grandi realtà imprenditoriali, nelle quali l’attenzione verso le problematiche di cui si discute era già ampiamente sviluppata.

A quanto detto, deve poi aggiungersi un ritardo endemico in alcuni settori, nei quali è diffusa l’idea che l’adeguamento alla nuova normativa possa ridursi ad aggiornare moduli e contratti, non comprendendosi l’importanza di una tutela che sia, per dir così, sistematica e non circoscritta all’urgenza dettata dall’entrata in vigore dell’esecutorietà del Regolamento.

Al contrario, sono fermamente convinto del fatto che i processi di gestione dei dati personali debbano essere costanti, con un monitoraggio e aggiornamento continuo, che possa effettivamente garantire i diritti e le libertà dei cittadini.

E comparando le diverse realtà degli Stati comunitari?

Inevitabilmente, lo strumento normativo prescelto, il Regolamento, è pensato per superare le differenze esistenti tra i singoli Stati membri e assicurare, da un lato, un livello uniforme di tutela per i cittadini europei e, dall’altro, rafforzare il mercato interno, dove la circolazione dei dati ha un ruolo economico fondamentale.

Alcuni ordinamenti, come quello tedesco, dalla cui esperienza il Regolamento riprende alcune soluzioni applicative, sono stati avvantaggiati, giacché alcune delle disposizioni del GDPR erano già presenti a livello nazionale (penso, ad esempio, all’obbligo di nomina del DPO).

Per altri ordinamenti, invece, l’introduzione del Regolamento ha costituito una sorta di rivoluzione, che si è riversata sui soggetti destinatari delle norme.

Né va dimenticato, a mio avviso, che la terminologia del Regolamento, dovendo essere unitaria, rischia talora di scontrarsi con le singole tradizioni giuridiche nazionali.

In definitiva, pur con tali limiti, ritengo che la strada intrapresa a livello comunitario sia l’unica possibile e che, in ogni caso, si tratti di un percorso ancora in divenire, che sarà completato da nuovi atti normativi (come il Regolamento ePrivacy, al momento in discussione) e dall’opera interpretativa degli organi comunitari.

Tornando al nostro Paese, nello settembre scorso è entrato in vigore il tanto atteso Decreto Legislativo 101/2018 che ha rinnovato il Codice Privacy, armonizzandolo ai precetti del General Data Protection Regulation, quali le sue valutazioni?

Il D. Lgs. 101/2018 ha avuto una gestazione complessa, ma ritengo che vada fatto un plauso alla Commissione che vi ha lavorato, con tempi ristrettissimi, che, talvolta, non hanno consentito un pieno approfondimento sul coordinamento delle regole del GDPR con le altre esistenti nell’ordinamento giuridico italiano.

Così come per il Regolamento, sono però fiducioso del fatto che molte lacune interpretative saranno chiarite dall’attività integrativa dell’Autorità Garante.

Un’attività che, già in passato, ha consentito alla normativa esistente di rimanere al passo con l’innovazione tecnologica e con le nuove sfide che ha posto alla protezione dei dati personali.

Dati sanitari e GDPR tra ricerca, sicurezza e business.

Quello dei dati sanitari è un tema molto affascinante, perché riassume rischi e potenziale dei dati personali. La ricerca medica (e non solo) si fonda principalmente sull’analisi di dati. Al tempo stesso, però, questi dati rivelano informazioni molto delicate, potenzialmente idonee a determinare forti forme di discriminazione.

Si è soliti dire che i dati personali sono il nuovo greggio: è una metafora idonea, perché rappresenta i dati come un bene di valore, però infiammabile.

 

*GDPR e Normativa Privacy Commentario

Back To Top