Alberto, tu hai ragione nel dire che l'infografica del Garante non parla di FOIA anche perchè noi non l'abbiamo ancora un FOIA in Italia a cui riferirci.
Però l'infografica ci dice questo, molto fra le righe:
a) Il GDPR include sanzioni più severe per la violazione dei dati personali (fino ad un massimo di 20 milioni di Euro o per le imprese fino al 4% del fatturato mondiale totale annuo);
b) rafforza i diritti dell'interessato, e questo è un bene specie verso i soggetti privati, incluso il diritto di cancellazione da combinarsi con il diritto all'oblio (artt. 16,17,18,19). Significa che passato un certo numero di anni e finita la finalità per
la quale i dati/documenti sono stati creati, un individuo (e quindi ancor di più una PA che tratta i dati degli individui) potrà pretendere con maggiore legittimazione di ora di negare l'accesso a documenti in cui compaiono nomi o descrizioni di situazioni
che possono portare a riconoscere le persone. Questi principi non sono nuovi, esistono già norme in tal senso nel nostro codice privacy, ma ora sono rafforzate dal GDPR a livello EU e deroghe, eccezioni, scappatoie nel nome dell'interesse pubblico saranno
più difficili da sostenere.
Aggiungo due altre informazioni che nell'infografica non ci sono ma sono nel testo del GDPR e sono determinanti per capire la sintesi finale:
c) l'art. 23 del GDPR pone dei limiti agli obblighi e ai diritti di azione del GDPR, in positivo e in negativo, e molte delle categorie che vogliamo "liberare" sono incluse qui in questo articolo che è lo specchio in larga parte dell'art. 24 della L. 241/90.
Sarà dura a livello nazionale fare delle linee guida ANAC con questi vincoli europei e nel contempo poter preservare lo spirito del FOIA come noi vogliamo, ma ci proveremo con tutte le nostre armi;
d) non si fa cenno alcuno al "right to know" se non nei confronti dell'individuo.
Del resto lo dice anche il Garante stesso nel suo parere al FOIA che dobbiamo attenderci una stretta prescrittiva dettata dal GDPR:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4772830
Questo articolo inglese è molto utile per capire come anche l'UK sia preoccupata delle ripercussioni del GDPR sul loro FOIA:
http://www.hldataprotection.com/2015/02/articles/consumer-privacy/what-will-be-the-impact-of-the-new-eu-data-protection-regulation-on-the-uks-freedom-of-information-act/
Questo è un altro importante articolo che parla dell'art. 17 (Diritto alla cancellazione («diritto all’oblio»)):
https://www.article19.org/data/files/medialibrary/38202/Comment-on-GDPR-final-A19-EFF.pdf
In realtà un margine di azione c'è nell'art. 6 del GDPR:
"Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e)"
dove c) e e) sono:
"c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;"
" e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;".
Noi dovremmo attivarci sin da subito per sfruttare questa breccia e definire il perimetro del punto e) in accordo con il FOIA così come lo intendiamo, in modo che tutto sia coerente e non cadere nella trappola di avere un FOIA che poi viene castrato dal CDPR
nella sua attuazione.
In sintesi:
1. da questo GDPR emerge una maggior tutela dell'individuo (
http://194.242.234.211/documents/10160/0/Il+nuovo+Regolamento+europeo+sulla+protezione+dei+dati+-+Infografica.pdf)
nel trattamento dei suoi dati personali (questo è un bene se pensiamo al settore privato specie ai grandi motori di ricerca o piattaforme che senza informare l'interessato usano i dati degli individui, li trasmettono a terzi, fuori dai confini EU), ma necessariamente,
e in modo speculare, il GDPR crea maggiori difficoltà a esercitare il diritto della collettività di sapere "right to know" e ad aprire i dati in Open Government Data se sono coinvolte persone fisiche;
2. ogni stato membro può definire il suo perimetro per su cosa intende per "interesse pubblico o connesso all'esercizio di pubblici poteri" e qui possiamo inserirci con il FOIA pensiero;
3. mi sarei aspettata dopo 4 lunghi anni di trattative un coordinamento maggiore sul "right to know".
Infine poichè vi ho annoiato già troppo con queste cose leguleie, per gli amanti delle timeline (è uno dei miei topic di ricerca da sempre) ecco una bella visualization del FOIA UK:
http://www.tiki-toki.com/timeline/entry/357591/FOI-ten-years-on/