La cura della persona e dell’ambiente di lavoro come opportunità di crescita per le organizzazioni

protezione dati personali

La protezione dei dati personali e l’impatto sull’organizzazione

, ,

Il 25 giugno 2014 la Suprema Corte statunitense espresse un convincimento che, sebbene non distante da una diffusa percezione, non mancò tuttavia di destare perplessità. La Corte infatti giudicò, in violazione del quarto emendamento della Costituzione, la condotta dell’ufficiale di polizia che, arrestato un cittadino sorpreso sul teatro del crimine a commerciare stupefacenti, utilizzò il telefono del fermato per ricostruire parte della rete dell’organizzazione criminale, individuando peraltro un appartamento nel quale furono rinvenuti droga, armi e un’ingente somma di denaro.

La Suprema Corte accolse le argomentazioni del ricorrente riconducendo le ragioni della violazione del quarto emendamento al mancato bilanciamento della tutela della privacy dell’arrestato con le esigenze di indagine, che avrebbero dovuto essere condotte attingendo ai dati contenuti nel telefono cellulare solo in forza di un mandato di un giudice, dal momento che non avevano potuto essere ravvisati rischi imminenti né per l’incolumità degli agenti di polizia coinvolti nell’operazione né di cancellazione o distruzione dei dati stessi.

La Suprema Corte fondò il proprio assunto sulla constatazione che i moderni telefoni cellulari sono “a pervasive and insistent part of daily life that the proverbial visitor from Mars might conclude they were an important feature of human anatomy”.

Le argomentazioni sulla illiceità della perquisizione furono incardinate essenzialmente su tre aspetti, legati alla capacità di archiviazione e di memorizzazione di un moderno cellulare: “First, a cell phone collects in one place many distinct types of information that reveal much more in combination than any isolated record. Second, a cell phone’s capacity allows even just one type of information to convey far more than previously possibile. The sum of an individual’s private life can be reconstructed through a thousand photographs labeled with dates, locations, and descriptions. Third, the data on a phone can date back to the purchase of the phone, or even earlier”.

Prima ancora di innescare considerazioni di natura giuridica, la pronuncia della Suprema Corte ha avuto il merito di portare in luce la necessità per l’operatore giuridico di dotarsi di una diversa sensibilità di lettura e interpretazione dei fatti, di un rinnovato impianto concettuale.

Verso un sistema di tutele in equilibrio

Nonostante incorpori taluni principi e istituti giuridici effettivamente ‘funzionanti’, il Regolamento Ue 679 del 27 aprile 2016 (GDPR) delinea un impianto normativo direttamente applicabile dal 25 maggio 2018 in ogni Stato membro dell’Unione europea che non può dirsi prossimo alla definizione di un sistema di tutele in equilibro, capace di seguire il progresso tecnologico e, al contempo, di governare le nuove emergenti criticità, sovente rapidissime e inedite.

Alla modernità dell’impianto giuridico non ha certamente contribuito il recente D.lgs 101 del 10 agosto 2018, elemento di raccordo sorprendentemente tortuoso e di anacronistica macchinosità. Certo è che il considerandum d’esordio del Regolamento è un primo e saldo approdo, collegato alla Carta dei diritti fondamentali dell’Ue: la protezione della persona fisica con riguardo al trattamento dei dati personali è un diritto (e una libertà) fondamentale, seppure non assoluto.

Infatti, l’orizzonte in cui si inscrive il Regolamento mira a un bilanciamento difficile. “Alla realizzazione di uno spazio di libertà, sicurezza e giustizia” si accompagna il disegno di un’unione orientata “al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche”. È in questa prospettiva bilanciata che la disciplina del trattamento dei dati personali deve trovare applicazione nell’ambito dell’impresa e con riferimento al lavoro (digitale) dell’uomo.

I principi cardine del sistema

È stabilito che il titolare del trattamento – tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche – metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento (art. 24, par. 1).

Al titolare del trattamento è dunque attribuita la responsabilità di realizzare un complesso dinamico di misure tecniche e organizzative adeguate (ponderate, riesaminate e aggiornate, qualora ciò si renda necessario) che, alla luce della valutazione d’impatto sulla protezione dei dati (art. 35), siano considerate sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso” (art. 25, par. 1).

È sancito il principio di ‘data protection by design’, nucleo concettuale dell’intero impianto normativo. Esso non costituisce un novum sul piano giuridico, poiché già la Conferenza internazionale dei Garanti per la protezione dei dati personali tenutasi a Gerusalemme nel 2010 individuò in tale sperimentato principio un elemento essenziale e fondativo di un idoneo sistema di protezione e ne promosse la diffusione, incoraggiandone il pieno riconoscimento in sede legislativa.

L’esortazione contenuta nella risoluzione adottata a conclusione dei lavori della Conferenza di ideare impianti normativi di ‘nuova generazione’, non fu tuttavia concretamente raccolta dal Legislatore italiano. È appunto solo con l’entrata in vigore del Regolamento che il principio è divenuto effettivamente vincolante e costituisce un asse portante dell’intero complesso normativo e concettuale: il sistema di protezione dei dati personali deve essere incorporato in ogni attività che comporti un trattamento dei dati fin dalla sua ideazione e progettazione (‘positive sum paradigm’).

Considerato il perimetro delle presenti brevi osservazioni, si potrebbe sostenere che tale principio sarà un elemento costitutivo essenziale anche dell’iter di formazione di un regolamento aziendale o di una procedura amministrativa così come dell’attività di negoziazione di un contrattocollettivo di lavoro. L’enunciato principio di ‘data protection by design’ è saldato a sua volta alla prescrizione di un secondo principio (‘data protection by default’): “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati necessari per ogni specifica finalità del trattamento” (art. 25, par. 2).

Ma l’autentico elemento di novità impresso dal Regolamento deve rinvenirsi – almeno a parere di chi scrive – nella stretta e indissolubile correlazione stabilita tra detti principi e l’obbligo per il titolare del trattamento di dimostrarne la conformità (‘accountability principle’, art. 24, par. 1), anche mediante il ricorso (eventuale) a un meccanismo di certificazione del sistema di gestione del trattamento dei dati personali (considerandum 100 e art. 25, par. 3).

Congiuntamente, l’art. 24 (par. 1) e l’art. 25 (par. 2) esprimono dunque l’esistente collegamento giuridico tra il principio di ‘data protection by design and by default’ e l’onere posto in capo al titolare del trattamento di dar concretamente prova di aver messo in atto azioni che garantiscano la conformità del sistema di protezione dei dati personali alle prescrizioni dettate dal Regolamento. Tale legame assume rilievo giuridico, ma opera ovviamente anche – e prioritariamente – sul piano logico-funzionale, trovando la propria compiuta formalizzazione nel registro delle attività di trattamento (art. 30).

Al contempo, il sistema di trattamento dei dati personali deve essere ideato, posto in essere e manutenuto tenendo conto della sua sostenibilità economica; cioè esso deve essere calibrato e messo in opera “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento’ (art. 25, par. 1 e considerandum 78).

È perfettamente coerente con l’impianto giuridico delineato dal Regolamento che il titolare del trattamento che ha varato il sistema di protezione per il trattamento dei dati personali preveda anche un piano di miglioramento di questo, programmando interventi e azioni effettivamente praticabili.

Il Regolamento indica dunque obiettivi irrinunciabili in tema di protezione dei dati personali, lasciando al titolare del trattamento piena libertà di manovra, sia sul piano progettuale sia organizzativo e operativo; nel tempo, il titolare del trattamento plasmerà il sistema di gestione di cui si è dotato secondo la forma giudicata fondatamente più adatta (anche sulla scorta dell’avanzamento tecnologico, delle modifiche organizzative intervenute e di verifiche e valutazioni basate su misurazioni e dati oggettivi).

L’articolo completo è pubblicato sul numero di Novembre-Dicembre 2018 di Sviluppo&Organizzazione.
Per informazioni sull’acquisto di copie e abbonamenti scrivi a daniela.bobbiese@este.it (tel. 02.91434400)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Cookie Policy | Privacy Policy

© 2019 ESTE Srl - Via Cagliero, 23 - Milano - TEL: 02 91 43 44 00 - FAX: 02 91 43 44 24 - segreteria@este.it - P.I. 00729910158
logo sernicola sviluppo web milano