L’adeguamento al GDPR è un affare colossale per strutture di consulenza e del settore ICT che non perdono occasione per spaventare i loro potenziali clienti (Attenzione: le sanzioni arrivano fino al 4% del vostro fatturato di gruppo!!”) o per presentarsi come quelli che fanno loro un “favore” aiutandoli a raggiungere la conformità normativa (Scopri come tratte vantaggio dal GDPR!!!!”)
Queste strategie di marketing sono accompagnate da una serie di falsi luoghi comuni sul GDPR che però, in nome della legge Kennedy-Goebbels, sono stati ripetuti tante di quelle volte che oramai nessuno li rimette in discussione.
Vediamone alcuni, espressi nell’onnipresente forma del “decalogo”.
1 – Il GDPR è la legge sulla privacy.
No. La privacy è protetta dall’articolo 8 della Convenzione europea sui diritti umani. Il GDPR tutela il diritto al trattamento dei dati personali che deve essere eseguito anche – ma non solo – nel rispetto della privacy.
Sebbene il Considerando n. 1 dica che
“Article 8(1) of the Charter of Fundamental Rights of the European Union (the ‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU) provide that everyone has the right to the protection of personal data concerning him or her”;
questo non è vero perchè l’articolo 8 della Convenzione europea sui diritti umani recita testualmente:
“Right to respect for private and family life”
- Everyone has the right to respect for his private and family life, his home and his correspondence.
In altri termini, l’articolo 8 della Convenzione parla di privacy e non di trattamento di dati personali.
La Corte di giustizia europea ribadisce la differenza nel comunicato stampa 84/2017 a proposito del trasferimento dei dati PNR dall’Unione al Canada:
“Le norme dell’accordo previsto sulla conservazione dei dati, il loro uso e il loro eventuale trasferimento ulteriore ad autorità pubbliche canadesi, europee o estere comportano un’ingerenza nel diritto fondamentale al rispetto della vita privata (enfasi aggiunta). Parimenti, l’accordo previsto comporta un’ingerenza nel diritto fondamentale alla protezione dei dati di carattere personale (enfasi aggiunta)”.
2 – Il diritto alla protezione dei dati personali è un diritto assoluto
- Il “Considerando” n. 4 dice chiaramente che:
“The right to the protection of personal data is not an absolute right”.
3 – Il GDPR si applica anche alle persone giuridiche
No. Lo dice il titolo stesso del GDPR:
“REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons (enfasi aggiunta)”.
Può esserci, semmai, da affrontare il tema dei dati aziendali dei dipendenti (ruolo, ufficio di appartenenza, informazioni di contatto ecc.) che vengon scambiati “uno a uno” nell’ambito delle normali attività lavorative.
4 – Il GDPR si applica a tutti i trattamenti di dati personali
No. Vale solo per i trattamenti eseguiti con sistemi di archiviazione o destinati ad esserlo. E’ stabilito dal “Considerando” n. 15 secondo il quale:
“The protection of natural persons should apply to the processing of personal data by automated means, as well as to manual processing, if the personal data are contained or are intended to be contained in a filing system. Files or sets of files, as well as their cover pages, which are not structured according to specific criteria should not fall within the scope of this Regulation2”.
5 – I dati degli interessati possono essere trattati solo con il loro consenso
- Il consenso è solo uno dei modi con i quali si può ottenere la titolarità del trattamento. L’adempimento a norme di legge, un accordo contrattuale o un legitimate interest del titolare sono casi nei quali si può procedere al trattamento senza il consenso dell’interessato (“Considerando” n. 47).
6 – Il data-breach deve essere sempre comunicato all’Autorità nazionale di protezione dei dati
- Il “Considerando” n. 85 stabilisce che:
“as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority …, unless the controller is able to demonstrate, …, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons (enfasi aggiunta)”.
7 – Il GDPR si applica a qualsiasi settore
No. Il “Considerando” n. 16 stabilisce che
“This Regulation does not apply to issues of protection of fundamental rights and freedoms or the free flow of personal data related to activities which fall outside the scope of Union law, such as activities concerning national security. This Regulation does not apply to the processing of personal data by the Member States when carrying out activities in relation to the common foreign and security policy of the Union”.
8 – Il GDPR si applica alle attività dell’Autorità giudiziaria penale
No. Il “Considerando” n. 19 lo esclude espressamente:
“The protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security and the free movement of such data, is the subject of a specific Union legal act. This Regulation should not, therefore, apply to processing activities for those purposes”.
9 – Il GDPR si applica, oltre che alle indagini, anche ai processi civili, penali e amministrativi
- Il “Considerando” n. 20 stabilisce che:
“The competence of the supervisory authorities should not cover the processing of personal data when courts are acting in their judicial capacity, in order to safeguard the independence of the judiciary in the performance of its judicial tasks, including decision- making”.
10 – Il termine per adeguarsi al GDPR scade il 25 maggio 2018
Si e no. Formalmente, la data entro la quale completare il processo di adeguamento normativo è effettivamente il 25 maggio 2018, ma se il Parlamento non approverà la delega al Governo per l’emanazione dei “provvedimenti satellite” che completano il quadro normativo (per esempio, in relazione alle esenzioni per le imprese al di sotto dei 250 dipendenti) l’efficacia del GDPR sarà più limitata.