Riflessioni del dott. Giovanni Lucatorto durante una sua lezione al Corso di formazione
manageriale per Data Protection Officer di Federprivacy.

“Il legislatore europeo con il Regolamento UE 2016/679 ha apportato una svolta epocale
all’articolato concetto del trattamento dei dati, ponendo l’attenzione sulla protezione dei dati
personali. A causa dell’intangibilità di tali informazioni, non vi è la consapevolezza, da parte
degli interessati e di tutti i soggetti autorizzati al trattamento, dell’inestimabile valore dei dati
personali che quotidianamente sono trattati o… maltrattati.
Il legislatore europeo, con il GDPR (General Data Protection Regulation), ha l’ambiziosa
visione di far comprendere l’estremo valore posseduto dai dati personali. Tutti siamo
chiamati in causa a riflettere sulle devastanti conseguenze derivanti da un uso inappropriato
dei dati personali e delle informazioni più intime.
Durante il corso di formazione manageriale per Data Protection Officer, al Cnr di Pisa, ho
valutato con i discenti alcuni eventi che hanno discriminato e danneggiato pesantemente gli
individui a cui si riferivano le informazioni utilizzate impropriamente.
Nell’art. 5 comma 1 lettera F e nell’art. 32 comma 1 lettere B e C si evidenzia l’obbligatorietà di
garantire la Confidenzialità, l’Integrità e la Disponibilità del dato.
E’ del tutto evidente che la perdita di Confidenzialità comprometterebbe l’interessato e la sua
sfera personale, esponendolo a diversi rischi fisici, morali o materiali. La perdita
dell’integrità di un dato sanitario, per esempio il valore di un esame di laboratorio,
sottoporrebbe l’assistito a cure mediche non necessarie. Infine, la mancata disponibilità
del dato causerebbe all’interessato un disagio.
Si è tutti chiamati, quindi, a dare il giusto valore ai dati personali. Lo sforzo di tutti, dai
cittadini ai titolari del trattamento, dai responsabili a tutti i soggetti autorizzati, deve essere
orientato verso un uso consapevole di tali preziose informazioni.
Numerose volte, nei 99 articoli del GDPR si richiama l’attenzione all’analisi dei rischi con la
quale il titolare è in grado di determinare le più adeguate misure di sicurezza tecniche ed
organizzative da adottare.
Si citano, a fini esplicativi e non esaustivi, alcuni “preziosi” adempimenti dalla duplice utilità:
– Registri delle attività di trattamento
– Privacy by Design e by Default
– Data Protection Impact Assessment
Il registro delle attività di trattamento rappresenta uno scrigno al cui interno vi sono delle
pregiate informazioni che riguardano l’intero processo del trattamento: dall’acquisizione delle
informazioni alla loro distruzione. Ed è proprio grazie alla conoscenza approfondita di tutte le
fasi del trattamento che il titolare sarà in grado di decidere le misure tecniche e organizzative
più adeguate al contesto, alla finalità, alla modalità e al trattamento in atto.
Con la Privacy by Design si valutano, prima che il trattamento abbia inizio, tutti i suoi aspetti,
compresi i rischi. Mentre con la Data Protection Impact Assessment si ponderano i rischi e le
probabilità che un evento avverso si verifichi su un trattamento, nel caso esso preveda l’uso di
particolari tecnologie o sia particolarmente a rischio per la libertà e dignità dell’individuo.
In conclusione si raccomanda un approccio proattivo, tipico del Risk Management”.

Leave a Reply

You must be logged in to post a comment.