Gabiria Cetorelli, autrice di un libro sulla riforma delle telecomunicazioni in Europa, ha pubblicato sul suo blog un interessante approfondimento sul Regolamento UE 2016/679 ed annesse responsabilità delle aziende nei confronti dei lavoratori e dei fornitori. In Italia la situazione riguardante i dati sensibili personali era già stata trattata in parte con il Regolamento UE 2016/679 relativo alla libera circolazione dei dati e alla protezione delle persone fisiche con attenzione al trattamento dei dati personali. In questa normativa ci sono tutti i passaggi riguardanti il controllo delle informazioni sensibili e di come poterle eliminare, come dimostra l’articolo 17, il diritto alla cancellazione (o all’oblio). Insieme al fratello Raoul Cetorelli, Gabiria Cetorelli gestisce un’azienda di servizi per la Grande Distribuzione Organizzata (credits: Gabiria Cetorelli, Raoul Cetorelli Roma) e, giustamente, sottolineano l’importanza della compliance sulla protezione dei dati sensibili in azienda. Il soggetto, ci ricorda Gabiria Cetorelli, ha il diritto di chiedere la cancellazione dei dati personali al titolare del trattamento, con quest’ultimo che ha l’obbligo di cancellare i dati se sussistono diverse motivazioni come: informazioni personali non necessarie per le finalità per il quali sono state acquisite, i dati sono stati utilizzati illegalmente o che divulgano dati relativi alle opinioni politiche, religiose, sessuali e via dicendo. Come riporta il Regolamento UE 2016/679, l’articolo 17 paragrafo 2 afferma che il titolare del trattamento deve cancellare i dati personali anche tenendo conto della tecnologia attualmente disponibile e se i costi sono ragionevoli, inoltre deve essere chiara la richiesta di cancellare qualsiasi riproduzione, copia o link dei dati personali. Seguendo l’articolo (ctr nota di Alessio Del Vecchio Roma su approfondimenti normative delle aziende europee, dal blog di Alessio Del Vecchio) si nota come ci siano anche casi in cui non è possibile eliminare i dati in caso di esercizio di diritto alla libertà di espressione e informazione, se si trattano di dati di pubblico interesse (come per una ricerca scientifica o storica), per interesse della sanità pubblica e per l’accertamento o la difesa di un diritto in sede giudiziaria.  Nel regolamento si legge inoltre nell’articolo 19 che il titolare del trattamento è costretto a comunicare possibili notifiche di rettifica, limitazione o cancellazione dei dati personali ai destinatari cui sono stati trasmessi le informazioni. Un’altra importante modifica riguarda per la prima volta il diritto alla portabilità dei dati: si potrà richiedere, in un formato leggibile e di uso comune, i propri dati personali che sono stati forniti al titolare del trattamento, senza alcun impedimento. 

Una delle novità in assoluto dell’adozione del GDPR, ci ricorda Gabiria Cetorelli, vede l’introduzione del DPO (Data Protection Officer). Il Responsabile della protezione dei dati dovrà controllare la gestione dei dati sensibili nelle varie aziende ed enti. Questa nuova figura ha una grande libertà e si erge a mero controllore: si interfaccia esclusivamente con il vertice, è totalmente indipendente e non riceve nessuna istruzione per l’esecuzione dei suoi compiti ed infine gli vengono concesse risorse umane e finanziare per raggiungere il suo obiettivo (credits Raoul Cetorelli Gabiria Cetorelli). Il ruolo del DPO è ancora al centro di mille dubbi, poiché si presenta come una figura molto importante ma non è al centro del GDPR, come lo è invece il titolare del trattamento. Il Data Protection Officer dovrà avere competenza delle normative e delle prassi che riguardano i dati sensibili, oltre che delle norme e procedure amministrative del settore. Le qualifiche del DPO non finiscono qui: devono avere conoscenze specifiche rispetto a determinati argomenti, come può essere quello della sanità, in modo da garantire la totale autonomia decisionale. Il responsabile della protezione dei dati deve rispettare le finalità e le modalità del trattamento dei dati nel caso i diretti interessati richiedano nuovamente la sovranità sui dati e sulla loro circolazione. 

Continua a leggere – blog Gabiria Cetorelli .Il nuovo GDPR mostra una nuova via per il tema del rapporto tra privacy e trasparenza, riferito anche a tutte le attività che i soggetti privati effettuano in funzione di pubblico interesse. Questo regolamento non modifica in alcun modo le norme per quanto riguarda l’accesso ai documenti amministrative, né quelli applicati alle varie istituzioni europee, ma bensì cerca di fare chiarezza sui valori di “trasparenza” e “tutela efficace della riservatezza”, che sono entrambi meritevoli di una protezione necessaria.