Da una ricerca sulla privacy [Kaspersky, 2020] è emerso che il 69% degli italiani è preoccupato per la propria privacy e ha dichiarato per questo motivo di aver provato a cancellare le proprie informazioni private dai siti web o dai social media. A tal riguardo, prosegue il report, che il 50% degli utenti italiani non ha saputo come fare e che il 12%, sempre degli utenti italiani, ha raccontato che i propri dati personali o le informazioni sulla propria famiglia sono diventati di dominio pubblico senza il loro consenso. La fase di smart working, inoltre, ha portato un ravvivato interesse nei riguardi della disciplina della privacy. Sono infatti arrivate molte più richieste di chiarimenti ai Responsabili della Protezione dei Dati (o come si usa più spesso, in inglese, DPO: Data Protection Officer) in merito ad operazioni di trattamento di dati personali ed alla loro legittimità. Un vademecum minimo può dunque tornare utile a decodificare alcune informazioni che ci riguardano. La normativa è articolata ed unica ma, nel dettaglio, ogni ente o azienda ha delle particolarità che portano ad accentuare alcuni punti rispetto ad altri: un ente di ricerca (d’ora in poi EPR) e una azienda sanitaria possono avere differenti sensibilità al riguardo. Lo scopo di questo lavoro è duplice: fornire da un lato le regole del gioco della cosiddetta privacy, le quali si trovano principalmente nel recente GDPR1 [GDPR, 2016], così da iniziare a giocare una partita che riguarda tutti, non solo dentro l’ente ma pure nella società come cittadini e, dall’altro informare e formare ufficialmente i dipendenti dell’ente come richiesto con precisione dal più ampio obbligo previsto dall’articolo 32 del GDPR perché, come recita, chiunque: “abbia accesso a dati personali non tratti tali dati se non è istruito”. La formazione aziendale in ambito privacy è necessaria per rendere sia i soggetti autorizzati che gli incaricati consapevoli dei trattamenti di dati personali che svolgono quotidianamente e anche per limitare i rischi di sanzioni. Come si vedrà, sono davvero pochi i casi in cui si sfugge dal ricoprire un ruolo nella filiera della privacy. Prima o poi si gioca un ruolo nel “trattamento dei dati personali”: non bisogna essere necessariamente in una amministrazione o in una segreteria per trattare dati personali, si può anche partecipare alla gestione di un progetto per giocare la partita. Già nell’introduzione, senza averci fatto caso, sono stati usati dei termini che hanno una valenza normativa, non solo nel linguaggio ordinario. Alla fine del lavoro sarà più chiaro che col GDPR si è dato avvio ad una vera propria nuova prassi cui conformarsi a livello europeo. L’app IMMUNI è un tema caldo al tempo del Covid19: viola o meno la privacy del cittadino? Chi crede che la privacy in situazioni di emergenza diventi un dettaglio trascurabile o un’inutile perdita di tempo, ha una concezione della riservatezza ancora “burocratica” ed un po’ datata, tipica dell’OttocentoNovecento. La privacy non è un insieme di formalismi e norme strumentali che frenano lo sviluppo digitale della società. Seguendo le attuali normative, come si vedrà, è possibile fare (quasi) tutto a “norma di legge” senza pensare a inutili violazioni o intromissioni nella vita privata. Sull’app il Garante Privacy si è pronunciato affermando che il “sistema di contact tracing prefigurato non appare in contrasto con i principi di protezione dei dati personali” [Garante, 2020] ma bisogna seguire le norme che stiamo per approfondire. Anche l’atto di prendere la temperatura all’ingresso del luogo di lavoro diventa lecito solo se si seguono le regole del gioco (che vanno conosciute ed applicate: prendere la misura anche se solo di temperatura, può costituire un trattamento di dati personali illecito e pertanto sanzionabile).