Se ne parla da tempo. L’Europa sta definendo un nuovo insieme di norme – un vero e proprio Regolamento – che avrà lo scopo di mettere “ordine e disciplina” in tema di protezione dei dati personali. Vediamo di cosa si tratta.
L’esigenza di un rinnovato quadro giuridico sulla data protection nasce sicuramente (lo constatiamo dalle cronache quotidiane) dalla complessità con cui – oramai a livello planetario – circolano e vengono trattate le informazioni, complici soprattutto le continue e sempre più invasive innovazioni tecnologiche e digitali. Tuttavia, è necessario anche uniformare la frammentaria normativa privacy tra gli Stati membri dell’Ue, cercando nel contempo di “riverniciare” i ruoli dei soggetti coinvolti nonché di dare più spessore ai principi reggenti la precedente direttiva 95/46/CE (che verrà quindi sostituita dal Regolamento).
L’obiettivo, in definitiva, vuole essere da un lato dare maggior tutela e consapevolezza alle persone fisiche interessate ad un trattamento di dati personali, dall’altro fornire ai soggetti che trattano tali dati gli strumenti per operare correttamente, pena conseguenze che possono costare molto caro. Trattasi ancora di norme non approvate definitivamente: ci riferiamo infatti alla proposta di Regolamento del Parlamento europeo e del Consiglio di inizio 2012, già integrata da diversi emendamenti della Commissione LIBE e ora in attesa di approvazione definitiva. Tuttavia, dall’entrata in vigore, il Regolamento diverrà direttamente applicabile in tutti gli Stati membri (senza necessità di essere recepito).
Osserviamo che in Italia, considerando gli ultimi interventi legislativi in materia di privacy, le cose sono andate in palese controtendenza rispetto alla linea improntata dall’Europa: guardiamo a tutti quei provvedimenti che da diversi anni hanno inteso semplificare la normativa – l’esempio, non unico, è la recente eliminazione dell’obbligo di predisporre il Documento Programmatico sulla Sicurezza (DPS) – i quali, risultano peraltro disallineati con altre norme nazionali (il D.Lgs 231/2001, in tema di “responsabilità amministrativa” delle persone giuridiche e altri enti, il D.Lgs. 82/2005, inerente l’”amministrazione digitale” dei soggetti pubblici).
Il Garante Privacy ha peraltro più volte segnalato le sue perplessità in merito: ammesso che l’emergenza crisi di questi ultimi anni possa aver “lubrificato” l’adozione di queste iniziative legislative, l’Autorità sottolinea che azioni di semplificazione “selvaggia”, talvolta, rischiano di creare situazioni ancora più difficili da gestire.
In ogni caso, tra gli aspetti toccati dalle nuove regole targate UE emerge l’”organigramma privacy”, dove è evidente un riassestamento. Protagonista principale è ora il Responsabile del trattamento, cioè il soggetto pubblico o privato (persona fisica o giuridica) che decide in ordine a finalità, condizioni e mezzi del trattamento di dati personali – coincide sostanzialmente con il “titolare del trattamento” previsto dal vigente Codice Privacy – anche assieme ad altri responsabili (corresponsabilità).
La seconda figura in gioco è l’Incaricato del trattamento, anche qui il soggetto pubblico o privato (persona fisica o giuridica) che elabora dati personali per conto del responsabile secondo le sue (scritte) istruzioni. La vera novità, tuttavia, è l’”ufficializzazione”, a livello normativo, del ruolo di Responsabile della protezione dei dati (Data Privacy Officer), cioè una persona fisica con precise caratteristiche, capacità e competenze tanto professionali quanto personali, che deve essere designata dal responsabile del trattamento in determinate condizioni (trattamenti effettuati da soggetti pubblici e, per le imprese, tenendo conto della tipologia e della quantità di dati trattati); il DPO è una sorta di organo di controllo indipendente, interno alla struttura del responsabile del trattamento, il quale dovrà fornirgli tutti mezzi necessari allo svolgimento dei suoi compiti. Illustreremo, prossimamente, ulteriori importanti tematiche disciplinate dal futuro Regolamento UE.
Michele Viel – Centro Studi CGN