Manlio D’Agostino
Da circa 20 anni la normativa sul trattamento dei dati personali ha modificato molte metodologie di lavoro, in tutti gli ambiti, anche in relazione alla sempre maggiore necessità di utilizzare informazioni e dati per dare valore aggiunto, tanto ai prodotti (si pensi alla relazione da un lato alla sperimentazione ed alla rilevazione degli effetti dei farmaci e dall’altro ai dati sensibili e di geolocalizzazione) quanto alle tecniche di marketing per raggiungere in modo efficace e capillare il target (siano essi pazienti o medici).
Questo primo articolo sul tema, vuole introdurre alcuni aspetti generali: l’intento è quello di approfondire ciascun argomento in altri successivi contributi anche alla luce delle conseguenti evoluzioni e posizioni prese dal legislatore e dal Garante.
Lo scorso 14 aprile il Parlamento Europeo ha – finalmente – approvato il cosiddetto “Regolamento Privacy Europeo”[1], riscrivendo alcuni cardini e ridefinendo gli ambiti applicativi: processo di modifica ed adeguamento, che in Italia, non si è mai arrestato, tra la necessità di libertà di “trattare” i dati (nell’ottica di dare risposta alle nuove esigenze, economiche e tecnologiche) e quello di salvaguardare la dignità personale.
D’altronde non sembra, però, che la “nuova” regolamentazione faccia chiarezza su almeno due aspetti fondamentali: in primis, resta un gap di carattere concettuale e giuridico non indifferente, tra il diritto di privacy ed il trattamento dei dati personali. Infatti, non si può non evidenziare come siano due aspetti molto diversi: l’incipit americano del 1896 sancì il “diritto di privacy”, ovvero (per meglio immaginarla) quella sfera che circonda ciascuno e che non può essere violata senza un espresso consenso del diretto interessato; mentre in Europa ed in Italia, ci sono voluti ben due secoli per avere solamente una “normativa sul trattamento dei dati personali”, senza però in alcun modo sancire il “diritto alla libertà personale”[2]. Inoltre, non è chiaro se i dati soggetti alla normativa saranno esclusivamente quelli già “archiviati”, eliminando de facto tutte le fasi precedenti e propedeutiche. Per questo sarà necessario capire quali saranno le declinazioni più puntuali che potrebbe effettuare il Garante nazionale.
Una ulteriore innovazione è la figura obbligatoria del “Data Protection Officer” (che non deve essere confusa con “il responsabile del trattamento”[3]) per tutti i soggetti pubblici e/o privati che abbiano come attività principale il trattamento di dati sensibili o giudiziari (o che monitoreranno su larga scala e stabilmente gli interessati): questa necessità di una qualificazione, competenza e ruolo organizzativo ben più significativo, molto simile – per taluni aspetti – all’Organismo di Vigilanza oppure alla Funzione di Compliance.
Risulta chiaro che le aziende (in particolar modo quelle che usano Big Data, specialmente in settori sensibili) dovranno implementare ed adottare un modello aziendale coerente e conforme, anche con una revisione delle proprie procedure e prassi.
Prossimi articoli:
- il nuovo Data Protection Officer ed il nuovo modello organizzativo aziendale
- i big data nel mondo farmaceutico- sanitario
- il trattamento dei dati sensibili con soggetti esterni
[1] che dovrebbe andare in Gazzetta Ufficiale UE entro maggio, per poi entrare in vigore nei successivi 20 giorni
[2] M. d’Agostino, Paper “L’Intelligence: strumento integrato di prevenzione e contrasto”, Stati Generali dell’intelligence Economica, Università degli Studi di Roma Tor Vergata, Marzo 2016
[3] previsto in via del tutto facoltativa, ma spesso necessaria, dal Decreto Legislativo 30/06/2003 n. 196, all’articolo 4 co. 1 lettera g) e all’articolo 29