Nel definire le scelte attuative dell’incombente Regolamento generale sulla protezione dei dati personali è importante ricordare che privacy e protezione dei dati personali sono due istituti giuridici ontologicamente diversi che regolano situazioni contigue ma non sovrapponibili.
“Privacy” è il diritto di scegliere cosa, del nostro spazio personale, vogliamo rendere conoscibile agli altri. La portata di questo diritto è ben esemplificata dall’immagine di un cancello chiuso. Tutto quello che sta dietro il cancello è privato, su tutto ciò che è al di fuori del cancello – nello spazio pubblico – viene meno la reasonable privacy expectation (Cass. n. 40577/2008 e n. 47165/2010).
Dal canto suo, la normativa sulla protezione dei dati personali si applica soltanto quando sono utilizzati dei sistemi di archiviazione. Il “Considerando numero 15 dice chiaramente che…The protection of natural persons should apply to the processing of personal data by automated means, as well as to manual processing, if the personal data are contained or are intended to be contained in a filing system”.
Benchè già in termini letterali la differenza fra i due istituti sia già abbastanza chiara, un esempio la renderà ancora più comprensibile. Ipotizziamo che, essendo cattolico cristiano, io decida di indossare in modo visibile una spilla o qualsiasi altro accessorio che riproduce un crocifisso.
La scelta di rendere pubblicamente accessibile il simbolo religioso significa che sto volontariamente rinunciando alla segretezza dell’informazione sul mio credo confessionale. Il fatto che chiunque possa acquisire l’informazione che mi professo cattolico cristiano non è una violazione della privacy perché – tornando alla metafora del cancello – ho scelto consapevolmente di portare all’esterno questo dato.
Se la direzione delle risorse umane dell’azienda per la quale lavoro compila un elenco dei dipendenti classificandoli per fede religiosa di appartenenza, basandosi su informazioni – come il mostrare simboli di culto – volontariamente resi disponibili dai dipendenti stessi, non c’è alcuna violazione della privacy, ma entra in campo la protezione dei dati personali.
Qual è la finalità del trattamento perseguita dalla direzione risorse umane di questa azienda? In altri termini, che bisogno ha di schedare i dipendenti utilizzando come criterio la confessione religiosa?
Se le finalità fossero – per esempio – gestire i turni di impianti di produzione, oppure assicurarsi il rispetto delle specifiche necessità alimentari dei dipendenti non ci sarebbero problemi. Ma se lo scopo fosse discriminare qualcuno a discapito di altri, la finalità sarebbe contro la legge e dunque il trattamento diventerebbe illecito sia secondo il Codice dei dati personali vigente, sia applicando il Regolamento generale sulla protezione dei dati personali.
Se poi, estremizzando il ragionamento, questa fantozziana direzione delle risorse umane dovesse schedare i dipendenti procurandosi informazioni non pubblicamente disponibili per finalità contrarie alla legge, allora avrebbe violato sia la privacy del dipendente (per avere conosciuto ciò che non poteva conoscere), sia il suo diritto alla protezione dei dati personali (per avere inserito quelle informazioni in un archivio finalizzato ad attività non consentite).
Conclusione: privacy e tutela dei dati personali sono due istituti diversi che tutelano situazioni giuridiche differenti e non sovrapponibili. Dal che deriva che, in azienda, compiere delle scelte organizzative pensando di dover tutelare la privacy invece del corretto trattamento dei dati personali può provocare costi inutili e sanzioni certe.