Principi rivoluzionari dell'elaborazione GDPR

Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER

L'articolo 5 è rivoluzionario, sia nella lettera che nello spirito, se si esaminano onestamente le pratiche in vigore prima del 2018.

"I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato" (par. 1a). Pur potendo concordare sulla legittimità del trattamento, occorre riconoscere che i criteri di trasparenza e correttezza sono stati scarsamente presi in considerazione. Nessuna persona i cui dati venivano acquisiti è stata informata delle modalità e delle finalità di tale acquisizione. Se ora dobbiamo conformarci a questa nuova disposizione, e dobbiamo farlo, i cambiamenti che devono essere apportati, sia in termini di prospettiva che di prassi, sono considerevoli.

Il paragrafo 1b dello stesso articolo 5 è sufficiente a stupirci, pardon, illuminarci ancora di più: "I dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e non essere successivamente trattati in modo incompatibile con tali finalità". In altre parole, un direttore marketing rimane responsabile dei dati raccolti, anche se il loro utilizzo cambia nel tempo. E tale cambiamento non deve essere incompatibile con le ragioni addotte all'origine della raccolta. La nozione di "finalità determinate ed esplicite" potrebbe di per sé, se intesa in senso stretto da un magistrato, ridurre i dati personali raccolti a un unico utilizzo.

Anche il paragrafo 1c non è male: "I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali sono trattati (minimizzazione dei dati)". Niente più strategie onnicomprensive e ricerche a tappeto per recuperare quante più informazioni possibili. Ogni operazione deve essere calibrata in base a un obiettivo specifico e solo a quello. La filosofia del testo riaffiora anche qui: si tratta di limitare il più possibile la diffusione dei dati personali, in modo che nessun individuo possa affermare di essere stato privato di informazioni che lo riguardano senza il suo consenso.

Anche il periodo di conservazione è previsto (dal paragrafo 1e dell'articolo 5): non deve superare "quello necessario in relazione alle finalità per le quali sono trattati". Ciò implica, sia chiaro, la distruzione dei dati dopo l'utilizzo; questa, ammettiamolo, non è una nostra abitudine.

La liceità del trattamento ha ora un fondamento, richiamato dall'articolo 6, che elenca sei condizioni, di cui almeno una deve essere soddisfatta. Essendo le ultime quattro dedicate a questioni non commerciali, solo le prime due ci interessano. O "l'interessato ha prestato il suo consenso al trattamento dei dati personali per una o più finalità specifiche", oppure "il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso". È quindi chiaro: per utilizzare i dati personali, il consenso o un contratto sono essenziali. Per un minore di 16 anni, età che gli Stati membri possono abbassare a 13 anni (la Francia ha appena optato per una maggiore età a 15 anni), il consenso deve essere prestato dal titolare della responsabilità genitoriale (art. 8-1). Quando ci si rivolge ai minori, i termini devono essere scelti in base all'età, in modo da facilitarne la comprensione (art. 12-1).

In caso di controversia, l'onere della prova del consenso spetta al titolare del trattamento, non alla persona che si ritiene lesa (art. 7). E tutto è previsto nelle linee guida del GDPR per dare all'autorità di controllo gli strumenti per decidere se il consenso sia stato effettivamente prestato e per quale motivo.

Non c'è più spazio per l'ambiguità, su cui tutti giocano da vent'anni: "Se il consenso della persona interessata è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in una forma che la distingua chiaramente da queste altre questioni, in una forma comprensibile e facilmente accessibile, e formulata in termini chiari e semplici" (art. 7-2). Tale consenso può essere revocato in qualsiasi momento. Ed è vietato complicare l'uso di questa possibilità: "Revocare il consenso è altrettanto semplice quanto dare il consenso" (art. 7-3).

Questa non è una novità, almeno in Francia, ma è chiaramente ribadita dall'articolo 9: il trattamento che riveli l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose, la salute o l'orientamento sessuale delle persone interessate è vietato (art. 9-1), salvo in dieci casi specifici legati al diritto del lavoro o all'interesse pubblico. Una di queste eccezioni è interessante e sorprendente perché si discosta dalla natura protettiva del testo: quando i dati sono "manifestamente resi pubblici dalla persona interessata" (art. 9-2e). In questo caso, possono essere rivelate le cosiddette informazioni sensibili; il che, dato l'esibizionismo prevalente, può riguardare molte persone.