Il Reg. UE 2016/679 (Regolamento generale in materia di protezione dei dati, di seguito “GDPR” come spesso definito con il suo acronimo inglese) uniforma la legislazione dell’Unione Europea in materia di protezione dei dati ponendo la tutela dell’interessato non solo in una posizione centrale rispetto agli obiettivi perseguiti dalla normativa, ma impone a coloro che effettuano i trattamenti (i.e. i titolari come possono essere diocesi, fondazioni, o altri enti a seconda dell’organizzazione interna) una serie di obblighi e previsioni volti a responsabilizzarli sin dall’individuazione dei mezzi e delle finalità del trattamento prima ancora che durante il relativo svolgimento. Alla base della disciplina continua a riposare il diritto fondamentale alla tutela dei dati personali informato dal principio di tutela della dignità umana

In questa prospettiva, si inseriscono le norme volte a nominare un responsabile della protezione dei dati (noto alla cronaca come data protection officer, DPO), qualora ne ricorrano i presupposti ai sensi dell’art. 37 ss. GDPR, la necessità di valutare l’impatto che il trattamento ha sulle libertà e sui diritti dell’interessato secondo i parametri della confidenzialità, disponibilità e integrità del dato, l’obbligo di identificare misure tecniche e organizzative adeguate, tenuto conto, in primis, della natura dei dati trattati.  

Le forme di tutela dei dati personali sono, da un lato, preventive laddove il titolare sia chiamato ad una compliance by design e by default rispetto al paradigma descritto dal GDPR attraverso la combinazione di misure tecniche (per lo più misure di sicurezza di carattere “fisico” o informatico secondo gli standard condivisi) e organizzativi (attraverso l’elaborazione di un sistema di responsabilità e di procedure volte a raccogliere, gestire, trasferire, condividere, conservare e, persino, cancellare i dati nel rispetto dei principi di liceità, trasparenza, minimizzazione, proporzionalità, correttezza, etc).

L’approccio basato sul rischio si riflette anche nella valutazione della dimensione patologica del flusso di dati personali, ovvero allorquando vi sia una violazione di sicurezza accidentale o illecita che determini un accesso, divulgazione o modifica non autorizzati, ovvero una distruzione o perdita di dati (c.d. data breach). In tali casi il titolare deve effettuare una valutazione in ordine alla probabilità che la violazione abbia comportato un rischio per i diritti e le libertà delle persone fisiche: in caso affermativo, nel termine di 72 ore è necessario notificare la violazione all’Autorità Garante; altrimenti è sufficiente l’annotazione sul registro delle violazioni. Quest’ultimo consentirà di censire le vulnerabilità (organizzative, di sicurezza, formative, ambientali etc.) nella specifica realtà del titolare, alla luce dell’insieme di trattamenti mappati nel registro dei trattamenti ai sensi dell’art. 30 GDPR.

La responsabilizzazione di coloro che trattano dati personali altrui in ordine alla natura, ai mezzi e alle finalità del trattamento si riflette in un accrescimento della consapevolezza dell’interessato rispetto al valore dei dati personali, oggi vero motore dell’economia, della tecnologia e della società.

Da questa prospettiva un trattamento non è conforme alla normativa europea per il solo fatto di aver raccolto “un consenso” dall’interessato. Si pensi a tal proposito che il consenso è, di fatto, una base giuridica del trattamento residuale rispetto alle altre ipotesi tra cui, per esempio, la sussistenza di un rapporto contrattuale, l’adempimento ad obbligo normativo, la salvaguardia di interessi vitali dell’interessato o di un’altra persona fisica per i dati cc.dd. generali, ovvero, la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica anche per i dati appartenenti a particolari categorie, cc.dd. sensibili (come quelli concernenti la salute, per esempio). Ciò che rileva è che, in ogni caso, qualsiasi sia la condizione di liceità del trattamento, l’interessato deve essere informato in maniera chiara, concisa, esaustiva e trasparente. Speciali basi di legittimazione al trattamento di dati sensibili che prescindono dal consenso esistono a determinate condizioni, ad esempio, per il trattamento dei dati dei loro membri, ex membri e delle persone che hanno regolari contatti con loro da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali.

Laddove l’interessato sia un incapace, l’informativa (e se del caso la raccolta del consenso) deve essere indirizzata al legale rappresentante. Laddove l’interessato sia capace ma vulnerabile (ad es. un anziano, un paziente, un non madrelingua etc.), lo stesso deve essere messo nelle condizioni di comprendere il flusso di dati, in modo da consentire l’esercizio dei propri diritti: spetterà dunque al titolare del trattamento identificare le modalità più consone a dimostrare di aver correttamente informato l’interessato, incluso il ricorso ad icone, ovvero ad informative plurilingue anche semplificate, ovvero ad applicativi informatici user-friendly. Sul punto occorre interrogarsi quali siano i margini di interpretazione di tali obblighi normativi se calati in una attività di erogazione di servizi socio-assistenziali in cui il concetto di emergenza e quotidianità per lo più coincidono.

Al titolare spetterà formalmente adottare una procedura capace di gestire le richieste di esercizio dei diritti da parte degli interessati. Tra questi, il diritto di accesso, rettifica, portabilità, opposizione, oblio e, naturalmente, revoca del consenso laddove quest’ultimo sia la base giuridica del trattamento. Sino a dove si estende l’accountability del titolare nell’esempio di un centro d’ascolto o di un servizio di erogazione di pasti a soggetti non abbienti e magari neppure identificati formalmente?

Le disposizioni introdotte dal GDPR presuppongono, pur nell’obbligatorietà e conseguente sanzionabilità delle condotte inadempienti, un bilanciamento di interessi tra le formalità previste, la natura dei trattamenti effettuati e la tipologia del titolare. Appare evidente che un istituto di credito non potrà essere equiparato ad una associazione di volontariato in termini di responsabilizzazione, sebbene quest’ultima potrebbe trattare dati ben più “sensibili” della prima, seppur con finalità e impatto sull’individuo diversificati. Se per un verso le menzionate “agevolazioni” per il trattamento facilitano i compiti nella prassi è bene ricordare che la tutela degli interessati va declinata avendo sempre come stella polare la tutela della dignità degli stessi.

In quest’ottica, nell’ambito dell’erogazione di servizi socio-assistenziali, una componente essenziale per interpretare la tutela dei dati personali come opportunità anziché come limite è costituita dalla formazione specifica degli operatori chiamati, in qualità di soggetti autorizzati, a raccogliere e gestire quotidianamente una quantità di informazioni personali, anche sensibili, di soggetti fruitori di un determinato servizio in virtù di una condizione di vulnerabilità (economica, sociale, di salute) che li rende ancor meno capaci di controllare i flussi di dati che li riguardano e per i quali persino modalità eccessivamente formali di informativa potrebbero risultare umilianti. D’altro canto, l’eccessiva proceduralizzazione degli adempimenti in materia di privacy volta a far dimostrare al titolare del trattamento la compliance potrebbe rischiare di comprimere le potenzialità del servizio erogato. Si pensi all’esempio del servizio di centro d’ascolto o di erogazione di pasti per persone meno abbienti. La base giuridica che giustifica il trattamento dei dati, anche appartenenti a particolari categorie, può senza dubbio essere rinvenuta in una condizione di liceità diversa dal consenso dell’interessato (i.e. l’eccezione di cui sopra, rapporto giuridico con l’interessato, interesse vitale della persona, erogazione servizio di cura, adempimento obbligo di legge, etc. a seconda del caso specifico). Tuttavia, al fine di migliorare tali servizi, nell’interesse del singolo beneficiario, ma anche della collettività, è possibile che alcuni dati personali possano essere trattati e gestiti anche per altre finalità (ad es. statistica, ovvero monitoraggio rispetto alle prestazioni richieste, etc.) e nuove basi giuridiche ovvero destinatari dei dati possono essere coinvolti. Orbene, in questi contesti è possibile che la somministrazione di informative complete ed esaustive possa indurre il soggetto vulnerabile a non usufruire del servizio, laddove una strategia più efficace, ma magari meno formale, possa essere elaborata al fine di individuare il giusto bilanciamento tra forma e sostanza nella situazione concreta. Pur restando fermo l’obiettivo di adempiere alle richieste normative si deve evitare che la burocratizzazione svilisca proprio l’obiettivo di tutela della dignità umana che essa presuppone.

In quest’ottica i concetti di capacità di prestare il consenso, vulnerabilità e protezione dei dati assumono connotati diversificati a seconda del contesto in cui sono evocati. Di conseguenza, fermo restando un impegno proattivo del titolare a trattare i dati personali nel rispetto della normativa vigente, adottando by design e by default misure tecniche ed organizzative che rispondano ai principi di trasparenza, correttezza, liceità, proporzionalità e minimizzazione, il GDPR non costituisce un insieme di scartoffie burocratiche da implementare in ogni settore, ma l’occasione per potenziare i diritti e le libertà fondamentali dei più deboli attraverso una corretta interpretazione degli adempimenti formali alla luce di un bilanciamento tra gli interessi in gioco. Come?

In primo luogo istruendo e formando gli operatori ad adottare quelle misure tecnico-organizzative ritenute dal titolare sufficienti, ma necessarie affinché il trattamento possa in ogni caso rispettare la dignità e i diritti degli interessati, in un sistema di pesi e contrappesi capace di individuare una tailored compliance (una conformità ritagliata a misura) del titolare del trattamento. Già solo la formazione interattiva permette di fare emergere soluzioni adeguate a trasformare l’adempimento in una opportunità di miglioramento.

In questa prospettiva, poi, il dialogo fra titolari che svolgono trattamenti di dati personali analoghi volto ad individuare best practice e, nel lungo periodo, codici di condotta costituisce il miglior strumento per una responsabilizzazione condivisa verso i flussi di dati anche nei settori in cui il rapporto con l’utenza è per sua natura meno portato alla formalizzazione di processi di gestione delle informazioni.