Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Il significato di “Privacy”

In un saggio andato in stampa nel 1890, due avvocati americani definirono – per la prima volta – il concetto di privacy, identificandola con il “diritto di essere lasciati soli”.

Dal tempo in cui è stata diffusa questa suggestiva definizione, la parola Privacy è diventata sinonimo di termini e concetti disparati.

Ormai comunemente utilizzata anche nella lingua italiana, questa parola comprende diverse definizioni, quali ad esempio segretezza, riserbo, vita privata, intimità, dati personali (ecc.), che confluiscono nella più comune terminologia di tutela della riservatezza, un tema di grande rilievo tanto per le persone fisiche quanto per i soggetti che erogano un servizio, come aziende, imprese ed enti.

Ed è proprio nel segno del concetto di esigenza di tutela della privacy, o tutela di interessi, che, in un primo momento, è stata approvata il 31 dicembre 1996 la Legge n. 675, la cosiddetta “Legge sulla Privacy”. Con tale legge sulla tutela e il trattamento dei dati personali, il legislatore italiano ha recepito la direttiva CE 95/46 recante “Norme di trattamento automatizzato dei dati personali” introducendo una Normativa inerente alla tutela delle persone o di altri soggetti sul trattamento dei dati.

Ad oltre due anni dall’emanazione della “Legge sulla Privacy” è stato pubblicato sulla Gazzetta Ufficiale il D.P.R. 318/99 “Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali” che rappresenta una vera e propria svolta nel campo legislativo sulla sicurezza dei sistemi informativi e di controllo dei dati. Per la prima volta nel nostro Paese, infatti, è stato emanato un provvedimento legislativo, che obbliga i destinatari dei dati ad attuare misure minime di sicurezza sull’utilizzo degli stessi, e la cui mancata applicazione assume rilevanza civile e penale.

In pratica, tutte le organizzazioni che trattano dati personali sia con mezzi informatizzati sia manualmente, devono adeguarsi ad una serie di adempimenti che includono aspetti informativi, contrattualistici, assicurativi, organizzativi e formativi coinvolgendo la maggior parte delle funzioni aziendali.

Introdurre un sistema di gestione della “Privacy” nella propria Azienda non significa solo adempiere a dei requisiti legislativi cogenti, ma anche dotarsi di uno strumento che garantisce:

  • maggiore chiarezza nei rapporti con Clienti e Fornitori,
  • prevenzione nei confronti di perdite e modifiche ai dati o errori di utilizzo da parte degli utenti,
  • migliore gestione del business Aziendale evitando l’interruzione delle attività tecnico-economiche,
  • corretta gestione dei dati presenti all’interno dell’Azienda,
  • salvaguardia dei software e degli hardware che compongono l’assetto informativo Aziendale.

Inoltre, la redazione di un Documento Programmatico Sulla Sicurezza, così come richiesto dall’art. 6 del D.P.R. 318/99, assicura l’Azienda stessa, che, grazie a questo documento, viene posta in condizione di mantenere attive delle procedure di sicurezza per la gestione ed il trattamento dei dati, e viene quindi dotata di protocolli facilmente integrabili con Sistemi di Gestione per la Qualità e Sicurezza secondo la normativa nazionale ed internazionale.

Il GDPR

A vent’anni di distanza, l’esponenziale crescita conosciuta da Internet e le profonde innovazioni che questa rete ha apportato al mondo intero hanno reso necessaria una sostanziale modifica della disciplina del trattamento dei dati personali delle persone fisiche.

Per questa ragione, la Comunità europea – muovendosi nel segno della difesa della libertà individuale – ha approvato il General Data Protection Regulation, altrimenti noto come Regolamento n. 2016/679.

Attraverso questa legge, il legislatore europeo ha inteso fornire a ogni cittadino (colui che la giurisprudenza chiama “persona fisica”) dell’Unione europea gli strumenti fondamentali per difendersi da qualsiasi rischio possa derivare un trattamento erroneo o illecito dei dati relativi alla sua persona (si pensi, ad esempio, alla raccolta dei dati di navigazione a scopi di marketing), garantendo al contempo la libera circolazione dei dati.

Uno dei principi cardine del presente Regolamento è la trasparenza: la società, o più in generale il soggetto che tratta i dati personali di una persona fisica è tenuto ad includere in un documento (non a caso, chiamato “informativa”) qualsiasi informazione riguardi le modalità secondo le quali i dati verranno trattati e gli scopi per cui questi saranno trattati.

Altro principio fondante, e per certi aspetti innovativo, è quello dell’accountability, per cui il soggetto in questione (il titolare del trattamento) non può limitarsi ad adottare le sopra citate misure minime di sicurezza, ma è chiamato ad attuare misure efficaci ai fini dei provvedimenti contenuti nel GDPR, pena la comminazione di pesanti sanzioni.

In base a questo principio, quindi, è necessario che, una volta effettuata la raccolta dei dati, il titolare tenga un registro dei trattamenti effettuati e, soprattutto, che garantisca la loro sicurezza durante la conservazione, cioè ne eviti la distruzione, la perdita, la modifica, la divulgazione o l’accesso, non voluti o illeciti, e che, nel caso si verifichi uno di questi eventi, ne fornisca comunicazione agli interessati (a ciò si fa riferimento all’articolo 33).

Il proprietario dei dati, d’altro canto, può disporre liberamente dei propri dati, e quindi, nel caso in cui voglia interrompere il trattamento, può inoltrare al titolare una richiesta di cancellazione o deindicizzazione dei suoi dati personali.