La tutela offerta dal Regolamento va applicata a tutte le informazioni riguardanti una persona fisica identificata o identificabile che si trova nel territorio europeo, mentre non tocca i trattamenti di informazioni relative alle persone decedute né alle persone giuridiche.
Restano, inoltre, esclusi dalla disciplina prevista dal Regolamento i trattamenti di dati effettuati in forma anonima, anche se svolti per scopi statistici o di ricerca. A tale riguardo, il GDPR precisa che i principi di protezione dei dati personali così introdotti non riguardano nemmeno quei “dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato” (Considerando n. 26). In tal senso, va quindi attribuito particolare rilievo alla pseudonimizzazione dei dati, alla quale i titolari vengono invitati a fare ricorso ove possibile, quale generale forma precauzionale. Tale procedura è elencata tra le possibili misure di sicurezza dall’art. 32 del GDPR ed è definita dall’art. 4, 5), GDPR come tipologia di trattamento che fa in modo che “i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”. Essa permette di ridurre il rischio di pregiudizi per i diritti degli interessati e, al tempo stesso, di favorire il rispetto della normativa limitandolo a quelle attività aziendali che riguardano informazioni relative a persone fisiche identificate o identificabili.
D’altra parte, se il ricorso alla pseudonimizzazione permette di restringere l’ambito di applicazione del GDPR, non va sottovalutata l’ampiezza del concetto di “identificabilità” di una persona: in tal senso, infatti, vanno considerati tutti i mezzi di cui i terzi potrebbero avvalersi per identificare, anche indirettamente, una persona, valutando complessivamente una serie di elementi oggettivi, come i costi, il tempo e le tecnologie disponibili per l’identificazione. Ciò, oltre alla puntualizzazione che il Regolamento afferma espressamente che l’utilizzo della pseudonimizzazione non può escludere a priori la necessità di adottare particolari misure di sicurezza.
Non va dimenticato, d’altro canto, che il GDPR contiene numerosi rimandi alla legislazione nazionale e fa più volte riferimento alla introduzione da parte dei singoli Stati di disposizioni di dettaglio. È esemplificativa, al riguardo, la formulazione delle disposizioni di cui alla Sezione IX, dedicata a specifiche situazioni di trattamento: per disciplinare alcune circostanze particolari, infatti, si fa esplicitamente rinvio a quanto verrà previsto dagli Stati membri, in rapporto, tra gli altri, a trattamenti effettuati a scopi giornalistici o di espressione accademica, artistica o letteraria (art. 85 GDPR) oppure all’utilizzo di dati personali dei dipendenti nell’ambito dei rapporti di lavoro, ad esempio, per finalità di assunzione (art. 88 GDPR).
Peraltro, nonostante l’autonomia loro riconosciuta in queste ipotesi, nell’ottica di uniformità di disciplina che contraddistingue il GDPR, i singoli Stati saranno tenuti a coordinarsi tra loro, per quanto possibile, nell’emanazione di tali normative di dettaglio. Al riguardo, per il momento, non resta che attendere gli interventi dei legislatori nazionali e le eventuali indicazioni delle Autorità Garanti.
In generale, poi, si deve partire dall’idea che l’approccio corretto alla nuova disciplina è quello preventivo. Vale a dire che, prima di porre in essere qualsiasi attività di trattamento di dati personali, i titolari devono:
– analizzare le singole operazioni che andranno ad effettuare;
– valutare i rischi specifici che esse comportano per la privacy;
– eseguire tutti gli adempimenti richiesti dalla normativa europea e nazionale;
– predisporre tutte le misure di tutela necessarie per garantire un livello di sicurezza adeguato al rischio.
La protezione dei dati personali deve, quindi, essere attuata in via anticipata rispetto ad ogni attività di trattamento che sarà o che potrebbe essere svolta. Il GDPR richiede, infatti, ai titolari del trattamento un’attenta analisi progettuale che dovrà tenere conto, complessivamente, di tutti gli elementi coinvolti e che dovrà fondarsi, necessariamente, su una conoscenza specifica del settore di competenza. Non sarà possibile, in altre parole, applicare correttamente la disciplina normativa in oggetto, se non si sarà in grado di distinguere e descrivere analiticamente tutte le caratteristiche dei trattamenti effettuati e dei dati che ne sono oggetto in riferimento ad ogni specifica attività. Per tale motivo, i titolari dovranno sforzarsi di procedere con ordine e in stretto rapporto al contesto di riferimento, non fermandosi all’applicazione aprioristica delle più comuni misure di sicurezza (che potrebbero risultare inadeguate e/o inappropriate rispetto ai reali trattamenti effettuati).
