Venerdì 8 e sabato 9 giugno nell’Auditorium del Complesso Le Benedettine si svolgerà il convegno dedicato al nuovo Regolamento europeo sulla privacy (GDPR, General Data Protection Regulation), organizzato dal master in "Internet ecosystem: governance e diritti" del dipartimento di Giurisprudenza, che metterà a confronto i rappresentanti dell’Autorità Garante della privacy italiana e i corrispondenti colleghi spagnoli. Il Regolamento europeo, entrato in vigore da pochi giorni, ha cambiato lo scenario della protezione dei dati personali, introducendo nuovi diritti per i cittadini europei e prevedendo la necessità per aziende, istituzioni, enti che trattano i dati personali di adottare logiche diverse rispetto al passato nella scelta delle misure adeguate per garantire soprattutto la sicurezza dei dati trattati, sempre più a rischio come hanno dimostrato recenti vicende. La nuova e complessa normativa è attesa ora alla prova della prassi.
Su questo tema, attualissimo e delicato, pubblichiamo il contribuito della professoressa Dianora Poletti, coordinatrice scientifica del convegno.
-----------------------------------------------------------
L’entrata in vigore del Regolamento (UE) 2016/679: la riforma alla prova della prassi in Italia e in Spagna
Il regolamento europeo 2016/679, da pochi giorni entrato in vigore, segna l’apertura di una nuova fase nella disciplina della tutela dei dati delle persone, resasi necessaria per rafforzare i diritti dei cittadini europei di fronte ad una dimensione sempre più collettiva e preoccupante dell’uso delle informazioni, come recenti casi balzati agli onori della cronaca hanno ampiamente evidenziato.
Molte sono le innovazioni apportate dal regolamento, noto ormai con l’acronimo GDPR (General Data Protection Regulation), sia sul piano dei diritti dell’interessato (ossia della persona fisica alla quale i dati si riferiscono), sia in ordine alle modalità con le quali devono essere trattati i dati personali. La consapevolezza degli effetti che sui dati possono avere le nuove tecnologie (dai Big Data alla Data analysis, dal Cloud all’Intelligenza Artificiale) ha generato nuovi diritti come quello all’oblio, alla limitazione del trattamento, alla portabilità dei dati. La riscontrata insufficienza delle vecchie regole, legate ad una logica di tipo individuale, incentrata sul rispetto di condotte predeterminate dal legislatore, ha lasciato il posto a un nuovo approccio alla protezione dei dati personali, imperniato sulla fondamentale esigenza di prevenire l’insorgenza di rischi per i diritti e per le libertà degli interessati. Da qui l’adozione di concetti come la responsabilizzazione (accountability) dei soggetti coinvolti nel trattamento; la valutazione preventiva del rischio per quei diritti e quelle libertà e la conseguente necessità di scegliere le misure idonee a contenerlo al minimo; il monitoraggio continuo delle misure di sicurezza adottate e la valutazione/revisione costante del livello di adeguamento della struttura organizzativa, onde evitare di incorrere in violazioni. Espressioni nuove per il diritto - come privacy by default e privacy by design - elevano la finalità di tutela dei dati personali ad impostazione predefinita dell’organizzazione istituzionale, professionale o aziendale e impongono di valutare i possibili problemi per la protezione dei dati già in fase di progettazione (“design”) del trattamento.
Di tutto questo si parlerà nel convegno, che costituisce un’occasione importante di riflessione sulle sfide poste dal modello europeo e di suggerimento per la soluzione dei numerosi aspetti applicativi posti dalle nuove regole. Si tratta del primo incontro accademico italo-spagnolo su questa normativa, che mette a confronto due paesi accomunati da una storia giuridica non solo culturalmente affine, ma anche caratterizzata da un mutuo scambio con riferimento all’ambito sia dottrinale sia legislativo: da qui l’interesse ad analizzare l’attuazione operativa del Regolamento nei due Paesi.
L’incontro vede in apertura il coinvolgimento dei rappresentanti (e ex rappresentanti) dell’Autorità garante privacy, che ha anche concesso il patrocinio all’iniziativa, i quali si interrogheranno sulle sfide poste dal regolamento europeo, sul ruolo delle autorità di controllo e sul sistema delle “fonti” della Data Protection, sempre più orientato – proprio nella logica dell’accountability - verso l’adozione di codici di condotta e di certificazioni.
Tra gli altri relatori, sono presenti i più autorevoli esperti del settore che hanno contribuito alla costruzione del regolamento e gli autori dei primi commentari alla previgente legge sulla privacy e ora al regolamento. Posto che questo riserva agli stati membri alcuni margini di intervento, il convegno vede protagonisti anche la presidente e altri componenti della commissione legislativa incaricata di stendere il testo del decreto legislativo di adeguamento della normativa interna al diritto europeo, che dovrebbe vedere la luce tra breve.
Di particolare interesse i temi trattati da giovani studiosi di altre università o esperti a vario titolo chiamati a intervenire tramite una call for papers, dalla quale sono scaturiti tre panels per un totale di ben diciotto interventi vertenti, tra altro, sui seguenti temi: il trattamento dei dati dei minori e dei lavoratori, la tutela dei dati dei rifugiati e dei migranti, i dati per la ricerca scientifica, la manipolazione e il neuromarketing, le firme grafometriche e i dati biometrici.
Una proattiva e avveduta applicazione del GDPR, pur con i suoi innegabili limiti, potrà contribuire a costruire le basi sulle quali poggiare larga parte della difesa della dignità delle persone e delle stesse nostre società democratiche: è indubbio che proprio sulla protezione dei dati si giochi una delle grandi questioni identitarie dell’Unione europea.
Dianora Poletti
Professore Ordinario di Diritto Privato e di Diritto dell’Informatica
Direttrice del master in "Internet ecosystem: governance e diritti"
