Le linee guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, adottate il 29 gennaio 2020 dal Comitato Europeo per la Protezione dei Dati (EDPB), al paragrafo 4, disciplinano la trasmissione di filmati a terzi in generale, prevedendo che la comunicazione individuale di immagini video a terzi, per scopi diversi da quelli per i quali i dati sono stati raccolti, è possibile a norma dell'art. 6, par. 4, del GDPR (Reg. UE 2016/679).
Con sempre maggiore frequenza si fa ricorso alla definizione “catena di custodia”; in quest’articolo cerchiamo di comprenderne il significato nel contesto della protezione dei dati personali.
La qualificazione dei soggetti esterni destinatari di dati personali e la corretta individuazione del ruolo soggettivo loro attribuito è un processo complesso, che implica verifiche mirate e che continua a presentare non poche criticità. Nello svolgimento delle attività di trattamento che gli sono proprie, infatti, il titolare del trattamento si trova a dover comunicare i dati personali dell’interessato a diverse categorie di soggetti, o a doverli condividere con gli stessi:
Quale rilevanza possono assumere le politiche di sensibilizzazione del personale per comprovare l’accountability del titolare, soprattutto a fronte di una contestazione di una violazione? All’interno del provv. n. 403 del4 luglio 2024 possiamo cogliere lo spunto per affrontare a tale riguardo un vero e proprio caso “di scuola”.
In venticinque anni la privacy ha fatto un passo intero indietro e uno mezzo avanti. Il livello di chiarezza e di adeguatezza delle norme è insufficiente. La difficoltà delle imprese ad adeguarsi è la conseguenza diretta di disposizioni incapaci di esprimere regole certe e prescrizioni comprensibili. A cascata abbiamo la ineffettività della legge e lo scadimento di tutela effettiva della riservatezza (sì, ha ancora un senso usare questa parola). La fiducia degli interessati è diminuita più di quanto sia aumentata la loro consapevolezza (in genere antidoto alla sfiducia). La trasparenza dei trattamenti è opacizzata da surplus (a volte doloso) di informazioni, è facilmente eludibile e non tocca il cuore dei problemi (utilizzo arbitrario dei dati).
L’accountability richiede urgentemente un repertorio europeo sul Gdpr. Ci vuole un catalogo delle pronunce e dei provvedimenti, delle linee guida e dei codici di condotta. Si deve abbinare un massimario dei provvedimenti sanzionatori e degli atti di rilevanza generale. Bisogna costruire, e siamo già in ritardo, il digesto europeo del Gdpr o se si preferisce il data base europeo, indicizzato e di pronto utilizzo, in tutte le lingue dei paesi in cui si applica il Gdpr.
Un recente provvedimento prescrittivo e sanzionatorio dell’Autorità Garante della protezione dei dati personali in materia di marketing (provv. 15 Dicembre 2022 – doc. web n. 9856345) ripropone interessanti temi di data protection legati al rispetto del principio della Privacy by design e by default.
Il Regolamento generale sulla Protezione dei Dati ha evidenziato la centralità di un elemento chiave per ciò che attiene alla tutela della privacy nella realtà aziendale: quello di “responsabilizzazione”, o accountability. Un concetto che diviene dunque dirimente nel processo di trattamento e imprescindibile per tutte le varie fasi che ne costituiscono la dinamica. In via preliminare, la “responsabilizzazione” - assioma capace di coinvolgere dunque interi settori professionali - sottolinea come chiunque si trovi a trattare i dati debba necessariamente adeguarsi alla vigente normativa sulla protezione delle informazioni personali.
La maggior parte delle aziende investono denaro e risorse per essere in regola con il GDPR, ma a 5 anni dall’introduzione del Regolamento UE un sondaggio condotto dall’Osservatorio di Federprivacy ha rivelato che il 78% delle aziende italiane considerano ancora il rispetto del GDPR come una mera burocrazia.
