Home » News » Attualità

La nuova Normativa Europea della Privacy e il Responsabile della Protezione dei Dati (DPO)

La nuova Normativa Europea della Privacy e il Responsabile della Protezione dei Dati (DPO)

Ebbene, dopo una lunga ed estenuante attesa, il nuovo Regolamento (Regolamento UE 2016/679) in materia di protezione dei dati personali, approvato dal Legislatore comunitario (Consiglio e Parlamento), è stato pubblicato lo scorso 4 Maggio sulla Gazzetta Ufficiale dell’Unione Europea (L119); i 28 Stati Membri possono finalmente beneficiare di  una disciplina uniformemente e immediatamente applicabile ai cittadini, alle imprese e a tutte le organizzazioni che operano in tali Stati.

Nonostante il periodo di adattamento di due anni dalla pubblicazione del Regolamento, in ogni Stato è iniziato, all’indomani dalla pubblicazione, quel percorso di riflessione e di più ampia consapevolezza del rispetto della privacy quale diritto fondamentale dell’individuo: condizione posta a base del maggior controllo e delle più ampie garanzie di tutela che, proprio nel Regolamento, trovano  la loro fonte principale. Ogni Stato è chiamato a “riassettare” la propria normativa interna, ovvero a creare le basi di una normativa che rispetti la privacy del cittadino “europeo”, anche oltre i confini dell’Unione: un trattamento di dati fuori dal territorio dell’Unione sarà considerato legittimo solo se, nello Stato di destinazione, vi sia un adeguato livello di protezione dei dati traferiti.

Dunque, una riforma globale che, partendo dal più elementare e fondamentale dei diritti della persona – la riservatezza – mira a dettare regole di funzionamento di una realtà digitale oramai divenuta essenziale nella vita e nello sviluppo sociale ed economico di una Nazione. Ed è per questo che, sia il Regolamento generale sulla protezione dei dati, sia la Direttiva sulla protezione dei dati trattati dalle Forze di Polizia e dalle Autorità Giudiziarie penali (anch’essa pubblicata lo stesso giorno del Regolamento), consentiranno, rispettivamente, di controllare meglio i propri dati personali e di avere maggiore sicurezza nel trattamento dei dati delle vittime, dei testimoni, degli indiziati nel corso di indagini penali e di altre azioni di contrasto al crimine.

Ma cosa ci fa pensare ad una normativa europea maggiormente garantista della nostra privacy, rispetto alle attuali norme già in vigore in Italia come in altri Stati dell’Unione Europea? Quali i tratti salienti del nuovo Regolamento Privacy?

Se ci riferiamo alla disciplina italiana di settore, già il nostro Legislatore, con l’emanazione del Codice Privacy (di recente novellato con la riforma 2012) e l’Autorità Garante, con i Provvedimenti Generali e gli altri atti di Autorizzazione, sono intervenuti massicciamente a regolamentare settori di interesse strategico, per imprese e cittadini nella protezione dei dati personali.

Quello che con vigore si può affermare riguarda l’ampliamento delle prerogative riconosciute ai cittadini  dalle nuove norme europee; esse consentiranno, oltre che un accesso più agevole ai dati personali dei singoli interessati presso i  detentori, anche un più esplicito e “praticabile” diritto all’oblio su dati personali che riguardano gli individui, obbligando chi li tratta a cancellarli su richiesta degli interessati, qualora non sussistano motivi legittimi per conservarli. Sarà disciplinato altresì il diritto alla portabilità dei dati, consentendone il trasferimento da un fornitore di servizio ad un altro e, non di meno conto, il diritto ad essere informati in caso di violazione dei dati (data breach), obbligando le imprese ed altre organizzazioni operanti negli Stati Membri a comunicare nel più breve tempo possibile alle Autorità Nazionali di controllo le violazioni alla riservatezza dei dati personali, affinché i legittimi interessati possano adottare tutte le più opportune misure di protezione.

A questa maggior ampiezza dei diritti dei singoli fa da contraltare una serie di norme che agevolano le imprese nell’applicazione della privacy, affinché le stesse possano raggiungere un maggior grado di sviluppo e di competitività nel grande spazio europeo. E, allora, all’uniforme applicazione del Regolamento, si assocerà la creazione di uno sportello unico (one-stop-shop), in modo da permettere alle aziende – soprattutto multinazionali – di rivolgersi ad un’unica Autorità di Controllo e – fatto di assoluto rilievo – gli obblighi più incisivi delle norme non saranno più applicabili indistintamente, ma verranno individuati, in virtù dei corrispondenti rischi individuati, nelle diverse aree aziendali sul  c.d. “approccio basato sul rischio” .

Ulteriore tassello qualificante del Regolamento risiede nell’aver definito, per la prima volta, la figura del “Responsabile della protezione dei dati” (Data Protection Officer).  Una figura totalmente nuova  (presente nella legislazione domestica di qualche Stato dell’Unione) che non solo agevolerà le aziende, nel delineare quegli obblighi di legge  da rispettare in virtù di una necessitata individuazione dei rischi di violazione della privacy (privacy impact assessment),  ma sarà  in grado di dare  maggiore sicurezza e consapevolezza al responsabile del trattamento dei dati personali (data controller) nel corrispondere ai principi fondamentali e alle misure di sicurezza dettate dalla normativa.  Ed è per questo che si dovrà attendere l’adattamento della disciplina nazionale al Regolamento europeo  per i casi di nomina obbligatoria (colmando le cc.dd. aree grigie di compromesso),  comunque prevista per il trattamento dei dati da parte della Pubblica Amministrazione, ovvero quando le attività principali del responsabile del trattamento comportino un regolare e sistematico monitoraggio degli interessati su “larga scala”, oltre che in ipotesi di  trattamento, sempre su larga scala, di dati sensibili e giudiziari.

La sfida che interesserà i Legislatori degli Stati Membri non sarà affatto semplice, soprattutto nell’applicazione di regole specifiche che ogni singolo Stato potrà individuare laddove nel  testo del Regolamento viene lasciata libertà di legiferare, grazie a quegli inutili compromessi raggiunti nel corso delle numerosissime sedute di discussione in sede europea, per “accontentare” interessi più o meno condivisibili manifestati dagli Stati.

Sicuramente, il nostro Legislatore e il Garante della Privacy avranno vita più facile nel ridisegnare Provvedimenti normativi già esistenti, magari implementando norme del tutto innovative del Regolamento che, ad oggi, sono già  state solo parzialmente recepite dal nostro ordinamento giuridico.

di  Domenico Vozza,

Avvocato del Foro di Roma, Specialista in Privacy,
Governance e Compliance aziendale, Comitato Scientifico S News.

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.