Il fine giustifica...i ruoli

A poco più di 31 mesi dalla propria sopravvenuta applicabilità, il reg. (U.E.) n. 679/2016, c.d. Regolamento generale sulla protezione dei dati, R.G.P.D., viene ancora troppo spesso ‘trattato’ come un genio incompreso.

Lo testimoniano principalmente - dal momento che costituiscono preziose proiezioni esterne dell’inerente sistema aziendale interno, definito ed implementato da ogni organizzazione aziendale - le masse di informative, da un lato, ‘del vecchio conio’, ritoccate soltanto a livello di riferimenti normativi e, dall’altro, ‘in formato copia-incolla’, personalizzate soltanto a livello di informazioni anagrafiche aziendali, che imperversano all’interno e ahimé, soprattutto... - all’esterno del world wide web, oltre alle (sottovalutate) deficitarie procedure di gestione delle stesse.

Insomma, mentre sul - non meno importante! - fronte informatico-tecnico soffriamo un’atavica arretratezza culturale, sul fronte giuridico-organizzativo abbiamo (troppo presto!) rinunciato in modo presuntuoso a chiarire l’applicazione dei principi fondamentali della normativa in questione, concedendoci invece lunghi voli pindarici su ‘altre questioni più importanti’.

Allora, intendendosi discutere dei suddetti principi fondamentali, va evidenziato innanzi tutto che il R.G.P.D. è ‘finalità-centrico’, come lasciano intendere già in sede introduttiva numerosi propri considerando:

• il cons. 19, che propone la finalità del trattamento di dati personali (in particolare, rispettivamente “(...) prevenzione, indagine, accertamento e perseguimento di reati (...)” oppure l'“(...) esecuzione di sanzioni penali (...)”) come discrimine per, da un lato, applicare una distinta normativa, quella sottesa alla dir. (U.E.) n. 680/2016 (attuata in Italia mediante il d.lgs. n. 51/2018), qualora la stessa sia contestuale alla qualificazione giuridica del titolare del trattamento come ente pubblico e, dall’altro, l’applicazione di “(...) disposizioni legislative intese a limitare determinati obblighi e diritti (...)”, quali quelle (anche in materia di anti-riciclaggio del denaro ed anti-finanziamento del terrorismo) di cui all’art. 2-undecies del d.lgs. n. 196/2003;
• il cons. 45, che propone la tematica dell’etero-definizione (o, meglio, dell’etero-attribuzione al titolare del trattamento) della finalità del trattamento di dati personali (in particolare, “(...) in conformità a un obbligo legale al quale il titolare del trattamento è soggetto (...)” oppure “(...) per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri (...)” da parte del titolare del trattamento) come discrimine per l’applicazione di disposizioni legislative particolari, prevedenti deroghe (anche notevoli) alla conformazione ordinaria degli obblighi e dei diritti di cui alla normativa generale, quali quelle già menzionate (anche in materia di anti-riciclaggio del denaro ed anti-finanziamento del terrorismo) di cui all’art. 2-undecies del d.lgs. n. 196/2003;
• il cons. 52, che propone la finalità del trattamento di dati personali (in particolare, quella attinente all’applicazione “(...) del diritto del lavoro e della protezione sociale (...)” oppure di una normativa ordinaria o extra-ordinaria, tristemente tipica nell’‘epoca pandemica’, volta a “(...) prevenzione o (...) controllo di malattie trasmissibili e altre minacce gravi alla salute (...)”) come discrimine (in deroga al pertinente divieto ordinario di cui all'art. 9, p. 1) per il trattamento di categorie particolari di dati personali;
• il cons. 50, che propone la tematica della definizione successiva (alla raccolta di dati personali) dell’ulteriore finalità del trattamento di tali dati personali come discrimine per l’integrazione dell’adempimento agli obblighi di trasparenza da parte del titolare del trattamento, qualora la suddetta ulteriore finalità sia compatibile con una o più finalità originarie o, comunque, lecita.

(...) decidendo precedentemente perché (tanto con riguardo al proprio interesse economico quanto con riguardo all'/gli interesse/i economico/i dell'/gli interessato/i) tale trattamento deve essere svolto e, perciò, attribuendo un senso compiuto, anche economicamente valutabile, allo stesso (...)

Comunque, oltre a quanto appena riportato a titolo esemplificativo, va altresì evidenziato che la finalità del trattamento di dati personali consente soprattutto - mutatis mutandis, anche nei sopra citati casi di etero-definizione della stessa - di risalire al ruolo fondamentale della normativa in questione (non in una veste meramente teorica, ma in una veste squisitamente pratica di agevolazione dell’eventuale esercizio dei propri diritti da parte di ogni interessato, ecc.), il titolare del trattamento, che, indipendentemente dalla sua qualificazione giuridica (soggetto fisico privato, soggetto giuridico privato, ecc.), “(...) singolarmente o insieme ad altri, determina le finalità (...) del trattamento di dati personali (...)”, ai sensi dell’art. 4, n. 7) del R.G.P.D., decidendo precedentemente perché (tanto con riguardo al proprio interesse economico quanto con riguardo all'/gli interesse/i economico/i dell'/gli interessato/i) tale trattamento deve essere svolto e, perciò, attribuendo un senso compiuto, anche economicamente valutabile, allo stesso.

(...) individuare almeno una condizione di liceità del trattamento per ogni finalità del trattamento di dati personali definita dal medesimo, ai sensi dell’art. 6, p. 1, dell’art. 9, p. 2 (in caso di trattamento anche di categorie particolari di dati personali) e dell’art. 10 (in caso di trattamento anche di dati personali relativi a condanne penali e reati) del R.G.P.D. (...)

A tal proposito, qualora non risulti sufficiente citare come testimone il cons. 74, che statuisce esplicitamente “(...) la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto (...)”, si può aggiungere che il titolare del trattamento “(...) è competente per il rispetto (...)” dei principi di cui all’art. 5, p. 1 e “(...) in grado di comprovarlo (...)”, ai sensi dell’art. 5, p. 2 del R.G.P.D., incombendo, di conseguenza, sullo stesso oneri esclusivi quali, a titolo esemplificativo, quello di individuare almeno una condizione di liceità del trattamento per ogni finalità del trattamento di dati personali definita dal medesimo, ai sensi dell’art. 6, p. 1, dell’art. 9, p. 2 (in caso di trattamento anche di categorie particolari di dati personali) e dell’art. 10 (in caso di trattamento anche di dati personali relativi a condanne penali e reati) del R.G.P.D. e quello - già sottolineato inizialmente - di fornire ad ogni interessato, rispettivamente al momento della raccolta dei suoi dati personali presso lo stesso, entro 30 giorni dalla raccolta degli stessi presso un terzo, al momento della prima comunicazione successiva degli stessi all’interessato, in precedenza alla prima comunicazione successiva degli stessi ad uno o più destinatari o, comunque, in precedenza ad un eventuale ulteriore trattamento degli stessi, almeno (almeno...accuratamente!) le categorie di informazioni tassativamente indicate dall’art. 13, pp. 1 e 2 e dall’art. 14, pp. 1 e 2 del medesimo R.G.P.D..

(...) fornire ad ogni interessato, rispettivamente al momento della raccolta dei suoi dati personali presso lo stesso, entro 30 giorni dalla raccolta degli stessi presso un terzo, al momento della prima comunicazione successiva degli stessi all’interessato, in precedenza alla prima comunicazione successiva degli stessi ad uno o più destinatari o, comunque, in precedenza ad un eventuale ulteriore trattamento degli stessi, almeno (almeno...accuratamente!) le categorie di informazioni tassativamente indicate dall’art. 13, pp. 1 e 2 e dall’art. 14, pp. 1 e 2 del medesimo R.G.P.D..

Pertanto, caro interessato (magari, potenziale dipendente o potenziale cliente), non esiste alcun trattamento dei tuoi dati personali che non sia riconducibile alla volontà espressa (durante la definizione precedente della finalità di tale trattamento) di un titolare del trattamento con propri contatti fisici (raggiungibili con il tuo spostamento fisico o mediante posta cartacea) e/o elettronici (raggiungibili mediante telefono, e-mail e, in caso di necessità, e-mail certificata): non essere timido!

Inoltre, cara organizzazione aziendale (magari, associazione tra professionisti, società tra professionisti o agenzia di comunicazione), se non sei stata tu a definire la finalità del trattamento di altrui dati personali, non lasciarti intimorire da eventuali squilibri di ‘potere contrattuale’, ma conserva saldamente la tua qualificazione naturale (e giuridica) come responsabile del trattamento, lasciandoti guidare dal titolare del trattamento (quello effettivo!) - magari, anche mediante un addendum (al contratto principale che vi vincola) conforme a quanto statuito dall’art. 28 del R.G.P.D. - nell’eventuale implementazione di ulteriori “(...) misure tecniche e organizzative adeguate in modo tale che il trattamento (...) garantisca la tutela dei diritti dell’interessato (...)”.

Infine, caro collega (assistente in materia di protezione dei dati personali di qualsiasi qualificazione giuridica), se non ti occupi personalmente di rendere conforme alla normativa in materia ogni trattamento di dati personali sotteso a finalità da te definite (magari, a titolo incentivante, quelle attinenti alla gestione della tua comunicazione on-line), come puoi pretendere che la tua clientela, invece, se ne occupi assiduamente, come dovrebbe? Non è il Garante per la protezione dei dati personali l’unico soggetto deputato a dare il buon esempio! Svolgiamo anche noi, soggetti privati, un ruolo sociale con implicazioni proporzionatamente analoghe: non dovremmo concentrarci esclusivamente sulla generazione di un buon livello di fatturato!

Si conceda un auspicio per il neo-nato 2021: ciascuno mantenga il ruolo (in materia di protezione dei dati personali) affidato dalla natura e fotografato dal diritto!