Libera circolazione dei dati, diritto all’oblio, valutazione d’impatto. Dopo l’entrata in vigore del D.lgs.  101/18, che ha adeguato il nostro diritto interno ai principi dettati dal GDPR, il quadro giuridico relativo alla privacy ha continuato ad arricchirsi senza sosta di eventi, norme, pronunce, orientamenti.

Gli ultimi trenta giorni sono  stati  particolarmente  fecondi di novità.

A livello europeo  va  segnalato  che  la  stessa  Unione  ha  ritenuto  di  dotarsi  di  un  regolamento  ad  hoc  per  la  tutela  dei  dati  personali. Si tratta del regolamento  (UE)  2018/1725  del  23  ottobre  2018,  che  si  applica  al  trattamento  dei  dati personali  da  parte  di  tutte  le  istituzioni  e  di  tutti  gli  organi  e  gli  organismi  dell’Unione.

Esso segue dichiaratamente  i  principi  del  GDPR  ed  ha  lo  scopo  di  creare  una  disciplina  il  più possibile  uniforme  tra  il  trattamento  dei  dati  operato  negli  uffici  pubblici  nazionali  e  quello  proprio delle  Istituzioni  europee.

Sempre in sede  europea,  è  di  pochi  giorni  fa  la  notizia  che  il  Consiglio  europeo  ha  dato  il  via libera  alla  riforma  della circolazione  dei  dati  non  personali all’interno  dello  spazio  UE. Tali dati includono, ad esempio, quelli generati automaticamente, come i dataset aggregati e resi anonimi utilizzati per le analisi dei big data o le informazioni aziendali.

Si tratterà di un passo avanti per lo sviluppo dell’Internet of Things, dell’intelligenza artificiale e dell’apprendimento automatico: il provvedimento renderà infatti più facile il  trasferimento  di  dati  anonimi, vietando  le  restrizioni  alla  localizzazione  dei  dati  imposte dagli  Stati  membri  per  quanto  riguarda  l’ubicazione  geografica della  conservazione.

Spostando l’attenzione sul nostro Paese, le novità importanti sono almeno due.

La terza sezione della Cassazione, con ordinanza del 4.11.2018 n. 28084/18 ha rimesso alle Sezioni Unite della stessa Suprema Corte, la questione del bilanciamento tra diritto di cronaca e diritto all’oblio.

In particolare, la Sezione semplice ha chiesto alla massima espressione del Giudice di legittimità di individuare degli univoci criteri di riferimento i quali consentano, agli operatori del diritto, di conoscere preventivamente i presupposti in presenza dei quali un soggetto ha diritto di chiedere che una notizia a sé relativa, diffusa in passato, non resti esposta e non sia divulgata a tempo indeterminato.

Siamo quindi prossimi a una definizione giurisprudenziale autorevole di alcuni criteri ancora troppo indeterminati, quali l’interesse pubblico alla notizia e l’attualità della stessa, che consentono ai giornalisti di superare le strettoie della disciplina del trattamento dei dati personali.

Venendo alla seconda novità, il Garante per la protezione dei dati personali, nell’ambito della febbrile attività di questi mesi, ha emanato in data 15.11.2018 un provvedimento che individua l’elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto (documento pubblicato sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018).

Si tratta di un documento importante per i grandi soggetti che lavorano con i dati personali.

Tra le ipotesi in cui sarà obbligatoria la valutazione di impatto, si segnalano almeno: trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti; trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo – es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento.

L’articolo è stato redatto dall’Avv. Giuseppe Colaiacomo che per CRTV ha curato il capitolo iniziale del primo manuale “GDPR, il nuovo regolamento privacy. Istruzioni per l’uso”, pubblicato dall’Associazione in collaborazione con @LuissLawLab lo scorso maggio in occasione dell’entrata in vigore nella Unione Europea. Una seconda pubblicazione  “GDPR, l’adeguamento interno. D.Lgs 101/2018” e prossima alla stampa. CRTV presidia il tema per gli associati del settore radiotelevisivo con un gruppo di lavoro dedicato che coinvolge le figure professionali che si occupano della privacy nelle aziende associate; e con una serie di attività che porteranno all’elaborazione di un codice di condotta di settore, compito precipuo delle Associazioni di categoria, alla redazione di  formulari standard per alcuni adempimenti,  quali ad es. la nomina del DPO e le informative, alla richiesta chiarimenti al Garante.