Prime considerazioni sul nuovo regolamento europeo sulla protezione dei dati personali

Facebook
Twitter
LinkedIn
computer privacy
Lo scorso 14 aprile il parlamento europeo ha adottato in seconda lettura il testo del regolamento europeo per “la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” approvato dal Consiglio UE.

Entro la fine di giugno dovrebbe avvenire la pubblicazione del testo nella Gazzetta Ufficiale dell’Unione Europea (GUUE). Il regolamento entrerà in vigore 20 giorni dopo la pubblicazione e, dopo 2 anni, le sue disposizioni saranno direttamente applicabili in tutta l’Unione europea.

Nelle prossime settimane pubblicheremo specifici approfondimenti su alcuni degli aspetti più salienti del regolamento. Si può però cominciare a fare qualche considerazione su questa importante innovazione legislativa.

  1. Roma non l’hanno fatta in un giorno.

E nemmeno il regolamento, verrebbe da dire. La sua adozione è l’ultimo step di un lungo percorso, cominciato nel gennaio 2012 quando la Commissione europea ha presentato ufficialmente il cosiddetto “pacchetto protezione dati”. Il motivo di una gestazione così lunga risiede nel fatto che il regolamento è il risultato della mediazione di visioni tra loro molto differenti. Una differenza che in alcuni casi ha radici culturali: gli stati membri hanno concetti diversi di protezione dei dati personali, alcuni più “radicali” e altri più “liberisti”. Un altro ambito da considerare è quello degli interessi economici in gioco: il regolamento è stato fortemente osteggiato dalle OTT (“Over The Top”), cioè le multinazionali che hanno costruito un impero finanziario sullo sfruttamento commerciale dei dati personali. Il motivo? Il nuovo meccanismo sanzionatorio può portare fino all’irrogazione di una sanzione pari al 4% del fatturato annuo globale dell’impresa: un’enormità rispetto all’attuale misura sanzionatoria prevista (basti pensare che, al momento, la più elevata sanzione mai comminata dal Garante Privacy in Italia è stata pari a 1 milione di euro per mancata informativa sul servizio “Street View” e sulla raccolta di immagini tramite la Google Car – quisquilie…). La mediazione dei molti interessi contrastanti ha comportato uno sforzo importante, in termini sia temporali che di impegno.

  1. Il Codice della Privacy non finirà in soffitta

Gli stati membri dovranno adattare il proprio ordinamento alle prescrizioni del regolamento europeo. Alcune modifiche importanti verranno apportate, ma l’impianto privacy così come è concepito non scomparirà. In alcuni ambiti non vi saranno discontinuità significative. Un caso esemplare è quello del Titolare e del Responsabile del Trattamento, per cui il Garante Privacy ha chiesto (e ottenuto) che i nuovi testi mantenessero le medesime definizioni in modo da evitare che le imprese dovessero sostenere costi connessi al cambiamento tecnologico.

  1. Chi ben comincia… è by design

Il concetto di protezione dei dati non deve essere collaterale ad un qualsiasi trattamento, ma deve essere un requisito preliminare: prima di progettare un servizio, un software, un qualsivoglia trattamento, il Titolare deve verificare che questo rispetti i criteri di protezione dei dati personali coinvolti. Privacy innanzitutto, dunque… by default e by design.

  1. Sangue freddo, ma non troppa calma

Il regolamento non è ancora entrato in vigore ed è già partito il battage pubblicitario per la revisione di sistemi, nomine, documenti, informative, percorsi formativi, ecc. Ci saranno dei cambiamenti significativi, è inutile negarlo. Ma alcuni concetti devono essere recepiti e interpretati in primis dal legislatore nazionale, che dovrà intervenire sul nostro tessuto normativo per fare in modo che sia coerente con le prescrizioni sovranazionali. Vediamo come evolveranno le cose. Questo però non vuol dire dormire sugli allori: 2 anni passano in fretta, meglio non farsi prendere dal panico, ma pensare a un percorso di graduale adeguamento dei propri processi di gestione delle informazioni (a cominciare da quelli nuovi).

  1. Il Data Protection Officer, qualcosa di più di una medaglietta

Pubbliche Amministrazioni e Società, Associazioni e professionisti che trattino grandi masse di dati di interessati dovranno avvalersi di un Data Protecion Officer, un professionista che dovrà assicurare la conformità alle normative dei trattamenti effettuati. Non uno “Yes man” bensì una figura fondamentale, che dovrà supportare le scelte organizzative e tecnologiche del Titolare con serietà e competenza: il suo nome andrà comunicato all’Autorità Garante per la Protezione dei Dati Personali e il suo ruolo dovrà essere innanzitutto di tutela dei processi informativi. Con un sistema sanzionatorio così gravoso, la designazione del DPO non potrà essere un semplice adempimento burocratico.

_______________________________________________________

Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter e su Facebook